Die Sicherheitslücken: HTML selbst öffnet keine, dies ist nur eine Auszeichnungssprache, Sicherheitslücken bietet nur das Programm, welches die Auszeichnung interpretiert, also der Browser.
Flash ist ein eigenständiges Programm welches (als Addon) direkt auf deinem Rechner installiert und ausgeführt wird. D.h. die Sicherheitslücken werden jetzt von den Browsern bestimmt. Aber wenn man sich ansieht, dass zB Opera nichtmal .mp4 durchlässt, dann kann ich mir vorstelen, dass sämtliche geläufigen rechner bei einer .exe oder einem korrumpierten Video erst recht schreien.
An Erweiterungen gibt es im HTML5 die neuen Tags <video>, <audio> und <canvas>.
<video> und <audio> bekommen durch <source> ihre Wiedergabequellen, <canvas> reserviert nur Fläche zum Bearbeiten in der Seite.
Alle drei haben ihre jeweiligen (zT sehr mächtigen) JavaScript APIs im Gepäck, durch die man enorm viel manipulieren kann. Sämtliche HTML5 Vereinheitlichungsaddons (zB video.js) sind einfach nur JavaScript Pakete, die auf der nativen API von <video> aufbauen.
Bei Canvas geht der Spaß dann richtig los, denn da können komplette "Flash"spiele nur mit CSS3 und JavaScript auf die von <canvas> gestellte Leinwand gesetzt werden.
Nochmal Stichpunktartig:
- <video> und <audio> für die jew. Wiedergabe
- <canvas> um eine Leinwand zu reservieren (zB für Minigames oder Animationen)
- CSS3 und JavaScript um bei <video>/<audio> das Aussehen der Kontrollbar anzupassen (oder das Aussehen des Videos - man kann mit JS on-the-fly das Video verzerren oder umfärben lassen)
- CSS3 und JS um auf der <canvas> grandiose Dinge aufleben zu lassen, bei denen (fast) nur deine Fantasie Grenzen setzt