Por um lado, a camada de aplicação aqui adiciona um nível adicional de risco.
Na opção 1 para modificar o arquivo em si, um atacante em potencial precisará ter acesso à sua estrutura de dados.
Na opção 2, o invasor também pode prejudicá-lo, modificando o aplicativo em si (injetando-o para enviar um arquivo errado / prejudicial) que é mais fácil de fazer do que obter acesso total aos arquivos dos sites. (falando em geral)
Eu vejo seu ponto. É verdade que ambas as opções são um pouco arriscadas, mas a segunda é simplesmente mais "propensa a hackers".
No final, isso se resume a gerenciamento de risco e chances calculadas.
Finalmente, para arquivos executáveis, o IE deve fornecer um aviso - de uma forma ou de outra.
Eu parei de usar o IE há vários anos, então talvez eu esteja errado sobre isso ... Ainda assim, FF e Chrome irão avisá-lo, mesmo que o PDF seja "justo".