Bloqueio de downloads HTTP, mas não HTTPS

Se falarmos sobre downloads de arquivos estáticos sem qualquer autenticação, a capacidade de garantir integridade dos dados é um dos motivos. No entanto, criptografar a conexão é apenas uma ferramenta para isso, já que você também pode usar somas de verificação para garantir que os dados não tenham sido modificados durante a transmissão.

No entanto, bloquear todos os downloads HTTP de qualquer lugar causará mais problemas do que resolveria, já que alguns conteúdos estão disponíveis apenas no HTTP. Do ponto de vista oposto, é perfeitamente adequado fornecer downloads apenas via HTTPS para a integridade dos dados, além de ajudar a proteger as informações sobre quem fez o download do quê.

Por outro lado, os downloads HTTP têm uma vantagem do ponto de vista da administração da rede: você pode executar verificações de vírus (e outros conteúdos) no arquivo em um firewall / UTM antes mesmo de chegar ao computador cliente. Com o HTTPS, você precisaria descriptografar o TLS primeiro; tecnicamente, seria um ataque man-in-the-middle, embora tenha um propósito legítimo.

Acho que sim, existem algumas razões pelas quais os downloads via http podem ser perigosos.

• sem https você pode sofrer de ataques man-in-the middle.
  • por exemplo. alguém tenta baixar o software de uma página confiável, mas ao invés disso ele pega um arquivo com um vírus
• sem https você pode ver a solicitação completa do uris no seu tráfego http, com https você vê apenas os hosts
• se você fizer o download de uma página com http-login, alguém poderá "ver" seus dados de login quando você não estiver usando https

Acho que porque o HTTPS é uma mensagem criptografada e protege o conteúdo do seu download contra espionagem e adulteração