Click to Play in webbrowsers (in elk geval Firefox en Internet Explorer 11) laat m.i. erg te wensen over: zodra je voor een specifieke site, bijv. telegraaf.nl, op een willekeurig Flash object klikt, wordt ook Flash content van alle third party sites gedownload en afgespeeld (zie mijn meer uitgebreide toelichting in
https://www.security.nl/posting/434875#posting435009).
Zelf gebruik ik NoScript in Firefox waarin ik alle plugins van untrusted sites verbied. Zelfs als ik telegraaf.nl aan de lijst met trusted sites zou toevoegen, zal (mogelijk kwaadaardige) Flash content van third party advertisers (banner servers) niet automatisch worden uitgevoerd (bovendien gebruiken die third party sites vaak Javascript en dat blokkeert NoScript natuurlijk ook by default).
Als je geen NoScript wilt gebruiken is FlashBlock wellicht een alternatief.