Wie Ynnus schon sagte lässt sich eine Menge Mist mit Flash anstellen. Gerade bei Actionscript 3 bieten sich sehr viele Möglichkeiten Benutzer- und Browserinformationen auszulesen und unbemerkt an den Betrüger zu senden. Voraussetzung dafür ist allerdings die Datei namens crossdomain.xml, in der die Sicherheitseinstellungen für alle Flashdateien, ausgehend von der Domain, geändert werden können. Ist dieser Datei nicht vorhanden, wird automatisch externe Verbindungen untersagt, womit die Datenweitergabe durch ein externes Skript (z.B. in PHP) sogut wie unmöglich ist.
Trotzdem bin ich gegen Flash in Signaturen und kann es auch nicht empfehlen dies zu erlauben. (Von den Absichten ganz zu schweigen)