Firefox no es "pre-descarga". Usted eligió comenzar la descarga seleccionando "Guardar enlace como" en el menú, o haciendo clic izquierdo en un enlace cuyo tipo de contenido no tiene un controlador interno o externo. Una vez que Firefox ha comenzado a descargarse, te solicita una ubicación para guardar. Mientras no haya ingresado a esa ubicación, descarga el archivo a un directorio temporal (depende de la plataforma), ya sea con el nombre de archivo predeterminado proporcionado por el servidor más un sufijo .part
o con un nombre de archivo generado aleatoriamente (I creo que eso depende de la versión, quizás también de la plataforma).
Firefox debe comenzar a descargar antes de solicitarle un nombre de archivo, ya que el servidor puede proporcionar el nombre de archivo predeterminado: el enlace original podría ser una redirección (por lo tanto, Firefox debe iniciar la conexión y leer el código de respuesta). podría haber un nombre de archivo en un encabezado Content-Dispotition
(por lo tanto, con una respuesta de 200, Firefox necesita leer los encabezados).
No hay riesgo de seguridad aquí. Cuando hace clic en algo en un navegador, se espera que el navegador establezca una conexión y descargue el contenido en ese enlace. Claro, podría haber problemas de seguridad (por ejemplo, el contenido puede desencadenar un error de navegador explotable), pero ese es un riesgo que toma al usar un navegador en primer lugar. Hacer que cada clic en un navegador muestre un cuadro de diálogo "¿estás seguro?" Sería una pesadilla de usabilidad, sin ningún beneficio de seguridad, ya que estarías haciendo clic en "sí" todo el tiempo de todos modos.
Bien, Firefox podría detener la descarga después de los encabezados. Pero eso no serviría para ningún propósito útil (además de ser malo para el rendimiento y la facilidad de uso). El exploit podría estar en los encabezados, después de todo.