A ver, la cuestión no es que no puedan entrar al SWF sin autentificarse primero, sino que no puedan "obtener" el SWF de alguna manera y conseguir información crucial para romper el sistema.

Por eso aunque no puedan visualizar el SWF desde la pagina PHP porque la validación de la Session se lo prohiba, siempre podrán conseguir el SWF y mirar su contenido... Para evitar eso habría que hacer un pequeño truquillo en el codigo PHP.