Zeph (./154) :
1 - JavaScript non plus, c'est pas pour ça qu'on va supprimer tout le code JavaScript de yAronet.

Mais le JavaScript arbitraire n'est pas permis dans les posts non plus!

3 - Cette balise existe principalement pour profiter du fait que YouTube peut afficher certaines vidéos en mode "HTML5" ; sans ce cas particulier, les vidéos YouTube utiliseraient la balise [flash]

Et c'est bien pour ça que la balise YouTube est une solution bien meilleure.

4 - Bon argument ; pour le résoudre, il suffira de modifier le comportement de la balise [flash] pour qu'elle s'affiche dans une iframe. Je note cette proposition

Ça ne résoud rien du tout, l'iframe peut ensuite par JavaScript activer un lien avec target="_top" (au moins avec certains navigateurs). Un iframe n'a jamais été une sandbox.

Le seul moyen de corriger cette énorme faille de sécurité est de supprimer la balise flash.