Flashから、JSでmixi情報を取得し、自社サーバーのAPIに渡してます。
自社のAPI側はベーシック認証をかけ、Flash側から情報を送信して
受けるようにしてるのですが、
この場合、公開しているFlashをダウンロードされ、mixi APIと同様の仕組みを
JavaScriptで実装され、Viewerの情報を取得する同名の関数を作成され、偽の情報を入れられた場合、問題無いものなのでしょうか?
opensocialコンテナであるmixiの署名付きリクエストではなく
Flashから直接自社サーバのWebAPIを叩いているという状況でしょうか?
それならばセキュリティ上の問題ありです。
他人が特定のユーザを騙ってサーバに不正なリスクエストを送ることも可能でしょうね。
暗号化されていないベーシック認証だけでは簡単に解析され突破されてしまいます。
Flash → 自社サーバ
という直接的な通信ではなく
Flash →(Externalinterface.callにてopensocial Javascript APIを叩く)→ mixi →(署名付きリクエスト発行)→ 自社サーバ(リクエスト検証)
上記のように一度mixiを経由し、署名付きリクエストを発行してください。
サーバ側の検証には有志が開発したオープンソースの検証用フィルタ等を使いましょう。