Evidentemente l'oggetto Microsoft.XMLHTTP si appoggia alla medesima gestione dei cookies di IE (che poi è quella che usano la maggior parte dei componenti, poiché è sicuramente presente su qualunque installazione di Windows), per cui, una volta effettuato il login da una parte, rimane "attivo" anche dall'altra. Firefox invece ha una gestione dei cookies separata, e quindi il cookie che viene lasciato dal sito in Firefox come prova che l'utente ha effettuato il login non viene visto quando si connette XMLHTTP, che, come già detto, si appoggia ad IE. Per risolvere dovresti obbligare l'utente ad effettuare il login con IE (magari integrando un controllo WebBrowser nella tua applicazione) o, meglio, gestire direttamente dal tuo programma il processo di login, inviando le adeguate richieste al server web.