1) Если не учитывать возможность декомпиляции, то можно сделать проверку на url, откуда загрузили, как-то так:
Код AS1/AS2:
stop();
if(this._url == 'http://www.mysite.ru/') {
play();
}
Тема обсуждалась, поищите.
2)
вне флешки, вы хотели сказать? Положите в директорию с данными файл .htaccess, где пропишите нужный запрет. Серверные скрипты же будет иметь доступ к этим данным.