Embedded Flash Security

Я обсуждал с моим коллегой безопасность Flash. Мы находимся на этапе планирования некоторых вещей для нашего веб-проекта, который использует плагин Flash для отображения контента. Нам необходимо динамически извлекать настройки для Flash-приложения с сервера, используя JSON.

Я предложил сохранить дополнительный HTTP-запрос для извлечения файла данных после загрузки плагина и встроить JSON непосредственно в страница, содержащая плагин Flash. Flash запускал функцию Javascript, которая возвращала ему десериализованные данные JSON.

Мой коллега выступил против этого предложения, сославшись на серьезные «проблемы безопасности».

Я считаю, что между этими двумя подходами практически нет различий, помимо того факта, что его подход требует дополнительного HTTP-запроса. Все это клиент / сервер, и клиенту нельзя доверять. Если я хочу изменить данные в запросе JSON, я могу это сделать в обоих случаях. Взломать извлечение файлов немного сложнее, но это возможно с помощью собственного HTTP-прокси.

Что вы думаете?