Sappiamo che i browser non consentono il contenuto misto attivo nelle pagine pubblicate tramite HTTPS. Questo perché il codice JavaScript potrebbe essere modificato da un MitM attivo che comprometterebbe la sicurezza della pagina. Molti browser bloccheranno inoltre il caricamento di immagini / altri contenuti passivi da una fonte non sicura per un numero di motivi .
Perché, quindi, è possibile che un sito pubblicato su HTTPS reindirizzi a un URL HTTP con un'intestazione Content-Disposition: attachment
o Content-Type: binary/octet-stream
che impone un download?
Ad esempio questa pagina di download viene servita inizialmente HTTPS ma reindirizza l'utente a un URL di download non sicuro. Chrome scarica automaticamente in modo cieco il file e non presenta alcuna informazione sulla sua origine. Firefox fa mostra l'origine nella sua finestra di download, ma consente comunque di continuare il download e non avvisa affatto l'utente:
Dato che un utente che scarica e esegue codice arbitrario come questo (che credono provenire da un sito sicuro) può fare molto più danno di qualche JavaScript iniettato, perché i browser consentono questo comportamento? Perché questi download non sono obbligatori per essere offerti in modo sicuro come gli script inclusi?