Если вы не используете HTTPS повсюду, вы уязвимы для перехвата HTTP, a la Firesheep.
Eve, если вы используете SSL, если страница клиента не SSL илисодержит любой не-SSL Javascript (или не-SSL фреймы в том же домене), вы по-прежнему уязвимы (и вы ничего не можете с этим поделать)
Чтобы ответить на заданный вами вопрос, это полностью зависит от вашегоситуация.
РЕДАКТИРОВАТЬ : Вы должны предупредить своих клиентов (разработчиков) на странице документации о правильной обработке ключа.
Кроме того, это зависит от среднего уровня квалификации клиентов.
У вас, вероятно, должен быть какой-то отказ от ответственности (я не юрист).
Скорее всего, все в порядке.