Сейчас в блоголёте принята базовая авторизация. Начав разбираться с библиотеками OpenID, выяснил, что более безопасно использовать авторизацию дайджестом, то бишь md5. Базовая авторизация означает, что пароль передается практически в не зашифрованном виде - ну не считать же шифрованием base64. Более защищенным методом авторизации является digest - для конечного пользователя не будет никакой разницы - всплывет одно и тоже окошко ввода пароля. При авторизации дайджестом отсылается браузеру случайная строка сгенерированная сервером, по несложному алгоритму браузер вычисляет md5 от пароля этой строки и еще кое чего и это отсылает обратно серверу. Таким образом легко отсекаются злодеи, пытающиеся перебором подобрать пароль - случайную строку сервер может отсылать каждый раз при открытии страницы, а ее подобрать практически тоже невозможно.

Я думаю сменить тип авторизации с базовой на дайджестом md5. Плюсы за смену алгоритма - более высокая безопасность в админке. Минусы - будет сброшен текущий пароль (даже сейчас реально блоголёт не хранит пароль, а лишь его md5), возможно придется добавить новый параметр - название окошка (но это под вопросом), и главное - это не увеличит безопасность блога в целом, так как во всех xmlrpc апи пароль передается обычным текстом. Либо для xmlrpc делать свой пароль. Реально xmlrpc известных апи (кроме livejournal) страдают отсутствием безопасности. Апи, понятное дело, что я не придумывал и поменять не смогу.

Еще один момент для авторизации хешем- хранение временной строки для авторизации. Можно хранить в сессии, либо в данных какого то класса блоголёта. Сессии и куки в блоголёте практически не используются. Куки используются для облегчения комментирования - автоматом заполняются все поля. Либо вовсе обойтись без случайной строки в авторизации, но тогда падает эффективность такой авторизации. Решение о временной, случайно сгенерированной, строке еще не принято. Я в раздумьях.