Round-robin DNS load balancing + Flash Player = Security violation?

[Хемуль]

Всем привет.

Столкнулся с проблемой... Разрабатываю Flash-приложение, которое загружает в себя разнообразные данные со своего домена. Также, для доступа к данным сайта из внешних всяких виджетов и т.п. в корневой директории сайта лежит crossdomain.xml, как положено.

И всё работало хорошо до тех пор, пока клиент не решил, что нагрузка на сервер может стать критической и не добавил Load balancer'ы. Работают они по принципу Round-robin DNS. То есть, при запросе чего-либо с домена domain.com, это "что-то" берётся то с одного IP'а, то с другого. То есть, домен domain.com ресолвится на разные IP'ы и нагрузка размазывается по нескольким серверам.

После добавления Load balancer'ов у ряда пользователей начали выпадать ошибки нарушения изолированной среды, не смотря на то, что приложение как бы должно было грузить данные из своего родного домена. Я начал думать, копаться, ковыряться в Google и в голову мне пришло, что может иметь место такая ситуация:

- приложение загружается с домена domain.com и на момент загрузки оно отдаётся balancer'ом с IP1;
- загрузившись, приложение пытается загрузить, скажем, файл domain.com/data.xml;
- Flash Player обращается по указанному адресу, но balancer направляет его уже на IP2;
- Flash Player считает это другим доменом (?) и пытается получить сперва domain.com/crossdomain.xml;
- balancer отдаёт crossdomain.xml, но опять перекрутив его на IP1;
- выходит, что хоть данные domain.com/data.xml и файл междоменной политики domain.com/crossdomain.xml находятся в одном домене, для Flash Player'а они будут отданы с разных IP'ов;
- Flash Player считает, что это плохо и реагирует так, будто crossdomain.xml не загружен вовсе, кидаясь в пользователя ошибкой нарушения безопасности.

Вот только что-то такое придумалось.
Почитал статью Policy file changes in Flash Player 9 and Flash Player 10, нашёл там в абзаце DNS hardening о всяких этих DNS-выкрутасах. Оказалось, что для сокетов IP точно имеет значение. Для HTTP разработчики Adobe решили всё отдать на совесть разработчиков браузеров, похоже:

Цитата:

Flash Player relies on browsers to provide HTTP networking, so any rebinding vulnerabilities that involve only HTTP must be solved in browsers.

Отсюда вопросы:
- Сталкивался ли кто-то с этой проблемой и находил ли решение?
- Если всё отдано на совесть разработчиков браузеров, то нет ли у кого-то информации по поводу того, как именно разные браузеры это отрабатывают?
- В статьях по поводу безопасности Flash Player'а 7 и 8 часто писалось:

Цитата:

The basis of domain comparison is the domain name, not IP address.

Так ли это на текущий момент в последней (10.2) версии Flash Player'а?