パスワードに＆があった場合エスケープされないため、ライブラリが変な動きをしちゃてるらしい。

Windows Phone の mixi アプリでログインボタンを押すと、secure.mixi-platform.com というサイトに SSL で接続し、以下のようなクエリ文字列を POST します。
たとえばメールアドレスが hoge@example.com、パスワードがpassの場合。
username=hoge@example.com&password=pass&scope=…
しかしパスワードが「pass=」の場合、次のようなリクエストが送られています。
username=hoge@example.com&unknown=password=pass=&scope=...
パスワードが「pass&」の場合はこうなってしまいます。
username=hoge@example.com&password=pass&unknown=&scope=...
このように、本来は存在しないはずの「unknown=」という文字列が追加されています。これは「=」や「&」という文字がエスケープされていないため、誰かが親切に付与しているものと思われます。
本来、ライブラリ内部で勝手に辻褄を合わせるのではなく、例外を飛ばして開発者に警告するほうがむしろ親切ではないかと思えますが、誰がどこで unknown= を追加しているかまでは特定できていません。
「=」と「&」はいずれも mixi でパスワードとして普通に使える記号なので、改善を期待したいところです。

http://nanapho.jp/archives/2011/10/mixi-app-cannot-accept-some-signs-as-password/