Co myślicie o wykorzystaniu autoryzacji HTTP jako formy zabezpieczenia części administracyjnej serwisu www - chodzi mi o względy bezpieczeństwa...?

Własnie po to ktoś to wymyślił.
Jeszcze jakby tak https:// to już całkiem dobrze.

Autoryzacja HTTP została wymyślona gdy nikt nie zakładał istnienia aplikacji WWW, więc miała tylko w prosty sposób chronić dostęp do zasobów. Ma przez to jedną poważną wadę -- tak naprawdę nie można się wylogować (przynajmniej nie spotkałem dotychczas takiej przeglądarki, która potrafiłaby ,,zapomnieć'' nazwę uzytkownika i hasło). W złożonym serwisie pozbycie się w pewnym momencie uprawnień (wylogowanie) jest istotną częścią całości. IMHO logowanie oparte o formularz i autoryzacja utrzymywana za pomocą sesji i cookie jest dużo lepszym i elastyczniejszym pomysłem w takich zastosowaniach.