Respostas:
A resposta do dhulk tem algumas informações boas, mas acho que são secundárias.
Vamos começar com alguns princípios básicos:
Está sendo executado em https ? Olhe na sua barra de endereço. Se o URL começar com https, o tráfego de e para este aplicativo será criptografado.
Só porque está sendo executado em https não garante que seja seguro. A empresa (ou pessoa) que criou o site tem acesso total a qualquer informação que você enviar.
Examine o certificado Clique duas vezes no ícone do cadeado para ver as informações de certificação (a posição do cadeado varia de navegador para navegador). Veja para quem o certificado é emitido. Se o nome da empresa não parecer familiar, faça algumas pesquisas no Google para descobrir qual é a relação entre o detentor do certificado e o serviço.
Procure uma política de privacidade. Isso deve especificar o que eles fazem com as informações que você fornece. Não garante que eles obedeçam à política declarada, é claro.
Pesquise sua reputação. Faça algumas pesquisas no google e no twitter. Tente coisas como "não confie no X" ou "segurança do X" (onde X é o serviço)
Em suma, você está procurando uma imagem consistente que sugira que os operadores do site sejam honestos e confiáveis. Ainda não há garantia, mas é um ótimo começo antes de você divulgar informações pessoais.
O que você procura pode ser um pouco difícil. No entanto, se você usa o Firefox, há algumas coisas que faço para me proteger de páginas que eu não tinha anteriormente.
Primeiro, eu uso o complemento NoScript para Firefox. Impede que o Javascript seja executado em sites que você não permite explicitamente.
Segundo, me deparei com isso há alguns dias atrás, o HTTPS Everywhere muda para a versão HTTPS de vários sites, que oferece maior segurança. Além disso, você pode adicionar quantos conjuntos de regras desejar para que qualquer site que você encontre e deseje usar a versão HTTPS (esteja disponível, é claro) também possa.
Espero que isto ajude.
Sugerindo alguns pontos não técnicos que você pode considerar além das medidas de segurança mencionadas por outros. Eles exigem que você use o site até certo ponto, para que você tenha que estar preparado para visualizar partes do site; portanto, se você estiver realmente preocupado, poderá tomar as precauções primeiro (sem script, desativando cookies etc.).
Embora eu não esperasse que tudo isso estivesse sempre presente (além da página de contato) - afinal, cada site é diferente - eu esperaria algum conteúdo gratuitamente.
Minha principal preocupação é segurança, não tanta legitimidade. Às vezes, um site é tão novo que você não encontrará muito sobre ele.
Por segurança, eu testaria se o site evita XSS, CSRF, passagem de diretório, estouros de buffer, injeção de SQL etc. Existem várias maneiras de testar qualquer uma das explorações acima, e qualquer site que falhe em seu teste deve ser visto com preocupação.
Instale o WOT ou o SiteAdvisor ou procure o site no site deles. Vá para a página do site e leia os comentários.