Das mit dem unverschlüsselten Cookie ist ein guter Hinweis, und in der Tat sollte dieser nicht das Passwort im Klartext enthalten.
Vielleicht sollte man hier auch das Prinzip von Heise erwähnen, nach eine verschlüsselten Login den weiteren unverschlüsselten Verkehr nur an eine IP-Adresse zu senden. Das könnte bei den großen Übertragungen von OTR viel Prozessorleistung einsparen.