1) юзать ssl, чтобы трафик не могли проснифать
2) но если я не ошибаюсь, даже с ssl как-то можно узнать, какие именно данные отправляются серверу, и получится отправлять свои запросы. С этим особо ничего не поделаешь, максимум - ограничивать количество запросов для одного клиента