Firefox non è "pre-download". Hai scelto di avviare il download selezionando "Salva collegamento come" nel menu o facendo clic con il tasto sinistro su un collegamento il cui tipo di contenuto non ha un gestore interno o esterno. Una volta che Firefox ha iniziato a scaricare, ti viene richiesta una posizione di salvataggio. Finché non hai inserito quella posizione, scarica il file in una directory temporanea (dipendente dalla piattaforma), con il nome del file predefinito fornito dal server più un suffisso .part
o con un nome di file generato a caso (I pensa che dipende dalla versione, forse anche dalla piattaforma).
Firefox deve iniziare il download prima di richiedere un nome file, perché il nome del file predefinito può essere fornito dal server: il link originale potrebbe essere un reindirizzamento (quindi Firefox deve iniziare la connessione e leggere il codice di risposta, e potrebbe esserci un nome file in un'intestazione Content-Dispotition
(quindi con una risposta 200, Firefox deve leggere le intestazioni).
Qui non ci sono rischi per la sicurezza. Quando fai clic su qualcosa in un browser, è previsto che il browser stabilisca una connessione e scarichi il contenuto su quel link. Certo, potrebbero esserci problemi di sicurezza (ad esempio, il contenuto potrebbe innescare un bug sfruttabile del browser), ma questo è un rischio che si prende usando un browser in primo luogo. Per fare in modo che ogni clic in un browser compaia, la finestra di dialogo "Sei sicuro?" Sarebbe un incubo per l'usabilità, senza alcun vantaggio in termini di sicurezza, dal momento che farebbe comunque clic su "Sì" in ogni caso.
Ok, Firefox potrebbe sospendere il download dopo le intestazioni. Ma questo non servirebbe a nessuno scopo utile (oltre a essere cattivo per prestazioni e usabilità). L'exploit potrebbe essere nelle intestazioni, dopotutto.