Ну вот если сделают вход в аккаунт на сайте тоже по md5 (на js), то соль пригодилась бы.

Зачем? Ну есть у меня игрушка - скрипт, брутфорса md5, но пароль больше 5 символов раскрывать не доводилось :).
Кстати, я бы в стороннем -онлайн-сервисе не доверил бы свой пароль даже для JS. По крайней мере если бы не разбирался в JS, ведь пароли можно аккуратно положить в куки и при следующем обращении к серваку вынуть в чистом виде ;).
Так что кодирование пароля в md5 - это дело клиента без участия сервиса. Так надежнее.

Вы не поняли суть. Сессия на сапе привязывается к IP адресу (если я не путаю), желательно конечно чтобы она привязывалась и к интерфейсу (api, www).

А в идеале было бы в настройках аккаунта указать какие функции должны быть доступны по API, да и альтернативный пароль бы тоже не помешал.

Сессия привязывается к устанавливаемому в куках ID сессии.

ID сессии хранится в куках
а сама сессия должна быть недействительна с других IP.

Сейчас работатет. И не факт что это хорошая мера защиты... провайдеры бывают очень разные...

сколько наговорили однако:)

по поводу нагрузок на базу, они будут в любом случае
через браузеры, через сервисы для себя или для всех
кому нужна инфа, тот будет её получать, но как сказали выше, популярность сапы среди конкурентов только поднимется на несколько пунктов

насчёт трафика
невелика разница, что парсить html, что xml, а точнее, не существенна
для скорости, идеальный вариант, всё равно будет txt с разделителями:)

не знаю, вхожу ли я в ту "пятерку", как говорили выше, кто пользуется хмл, но думаю, что намного больше:)

кроме http://www.sape.ru/api_xmlrpc.php ещё есть что-то, что не видно:)?

CSV подходит для плоских таблиц, но никак не подходит для вложенных структур. Тут лучше всего будет использовать YAML - гибкость почти как у XML, простота почти как у CSV, и не так сильно раздувается размер передаваемых данных (за счет меньшего кол-ва разметки).

Вы тут велики то не придумывайте. сжатый XML решает.

нууу ... раз такое дело, тогда сразу в *.dbf например, и маркеров не нуна :))