Скачивать вы как будете? По URL! А кто вам хост резолвить будет? DNS! А DNS является надежной системой? Ничего подобного, можно и подменить. А когда вас хрен знает куда DNS отправит вы как об этом догадаетесь? По SSL-сертификату! А это надежно? Иногда, а вообще нет, можно купить идентичный натуральному (у одного китайского регистратора уже всплывали фейковые сертификаты). Но можно же проверить, что html выпустил разработчик, а не злоумышленник! Как? По цифровой подписи! А ее кто-то делает? Никто! Хорошо, но может он опубликовал хешсуммы? Возможно, но положил их на тот же сервер! Да разве ж кому-то это в голову придет вообще? Удивитесь, но даже Parity способна на такое.

И вот вы уже запускаете непонятно что, полученное непонятно откуда. Стоимость подобной атаки ниже 500 USD. Здесь слово безопасность даже рядом не стояло.

По-хорошему денег с вас содрать надо за науку, но защита пользователей важнее обогащения, так что пользуйтесь на здоровье.