Я обсуждал с моим коллегой безопасность Flash. Мы находимся на этапе планирования некоторых вещей для нашего веб-проекта, который использует плагин Flash для отображения контента. Нам необходимо динамически извлекать настройки для Flash-приложения с сервера, используя JSON.
Я предложил сохранить дополнительный HTTP-запрос для извлечения файла данных после загрузки плагина и встроить JSON непосредственно в страница, содержащая плагин Flash. Flash запускал функцию Javascript, которая возвращала ему десериализованные данные JSON.
Мой коллега выступил против этого предложения, сославшись на серьезные «проблемы безопасности».
Я считаю, что между этими двумя подходами практически нет различий, помимо того факта, что его подход требует дополнительного HTTP-запроса. Все это клиент / сервер, и клиенту нельзя доверять. Если я хочу изменить данные в запросе JSON, я могу это сделать в обоих случаях. Взломать извлечение файлов немного сложнее, но это возможно с помощью собственного HTTP-прокси.
Что вы думаете?