Узел allow-access-from имеет необязательный атрибут 'secure'. Скажем, в crossdomain.xml на mysite.com есть:
Если это установлено в true (по умолчанию), flash-клиент, полученный по HTTP, не сможет получить доступ к данным на mysite.com по HTTPS.
Я могу думать только об одном риске при установке значения secure в false: Пользователь с отравленным файлом хоста или DNS-сервером может быть перенаправлен на флеш-клиент на поддельном http://subdomain.example.com. Теперь этот флеш-клиент может получить доступ к конфиденциальным данным на mysite.com (при условии, что наш пользователь вошел на mysite.com).
Есть ли дальнейшие риски? Я предполагаю, что данные все еще зашифрованы, так как клиент подключается к https-серверу, поэтому они защищены на транспорте.
Я читал техническую статью по безопасности Flash, и в ней не было никаких подробностей о рисках: http://www.adobe.com/devnet/flashplayer/articles/flash_player10_security_wp.html
Спасибо!