Hay un ejemplo con fines ilustrativos:
Supongamos que hay un sitio educativo sobre la mitología celta. Es un sitio puramente de solo lectura, no incluso los comentarios están permitidos. También es muy simple, tiene partes ejecutables no como Javascript / Flash / Java / Silverlight / Unity / ActiveX. No hay anuncios porque el sitio vive de donaciones. En resumen, esto es solo una colección de documentos HTML completamente inofensivos.
Pero este sitio utiliza HTTP en lugar de HTTPS. ¿Significa que, en teoría, algún agente malintencionado (como un pirata informático, malware de otra máquina o ISP) podría convertirse en un "hombre en el medio" e inyectar Javascript malicioso (por ejemplo) en la página transferida, a pesar de que la página original no tenía Javascripts en absoluto?