MappletやiGoogleのガジェット等でOpenIDやはてな認証等を使う方法を思いついた

全くの思いつき。
マッシュアップアワードあたりで使おうと思ってるんだけど、セキュリティとかツッコミどころ満載かもしれないので、晒してツッコミを待とうという。

と言っても、さすがにMappletと外部認証サーバだけで認証させるのは無理。
外部の自前サーバの助けがいる。

原理は上のシーケンス図に示したとおりだけど、自前サーバ上にログイン作業の進行状況を通知するCometインタフェースと、外部APIに遷移させるだけのWebインタフェースを用意する。
で、Mapplet上でユーザのログイン操作を受け取ると、Mappletでは適当なセッションIDを生成し、そのセッションIDを付加して自前サーバのCometインタフェースに、ログイン状況監視のリクエストを非同期で投げる。
同時に、その同じセッションIDを付加して、外部APIに遷移させるだけの自前サーバのWebインタフェースをポップアップする。
自前サーバのWebインタフェースは、付与されたセッションIDをユーザのクッキーに食べさせると共に、外部認証APIにリダイレクトする。

外部認証APIでの認証作業が完了すると、ログイン情報付き処理が自前サーバのWebインタフェースに戻ってくる。
そこでWebインタフェースは、クッキーからセッションIDを読み込み、そのセッションIDを持つCometインタフェースにログイン情報を通知し、同時にユーザのクッキーを消去、そして自分自身のWindowをクローズする。
Webインタフェースからログイン情報をもらったCometインタフェースは、非同期に返答を待っているMappletに対しログインの結果を返答し、それを受け取ったMappletは、結果に従いログイン状況の変数をセットする。

というような形を考えたのですが。

セッションIDがそのまま流れたりクッキーに保存されるので、ばりばりセッションハイジャック余裕かもしれないのですが、結局ログイン作業の一連の中で、ユーザ画面の遷移とログイン結果を待っているCometインタフェースとを紐付けるためだけのセッションIDで他の事に使うわけではないし、かつ都度発行するIDなわけなので、ハイジャックされたからといって何？してどうするの（セッションハイジャックして何か悪さしたところで、その結果が表れるのはハイジャックしたユーザ画面ではなくされた方のMapplet画面なので）？という感じなので、問題ないんじゃないかなあと。

とは思うのですが、見落として何か問題があるかもしれないと思うので、晒してみました。
ツッコミお願いいたします。