Muutama päivä sitten Facebookista ja Myspacesta löydetty ja nyt jo korjattu haavoittuvuus johtui huonosti suunnitellusta crossdomain politiikasta. James Ward esittää havainnollisesti esimerkein miten homma toimii. Käytännössä palvelin jossa käytetään cookieita ja autentikointia ja jolle olet jo autentikoitunut on avoin flash sovelluksille jos palvelimen crossdomain.xml on conffattu leväperäisesti (allow-access-from domain=”*”).

http://www.jamesward.com/blog/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/