En la mayoría de navegadores recientes, con la salvedad de Internet Explorer, se pueden configurar las descargas para que automáticamente se guarden en una carpeta determinada sin intervención alguna del usuario.
En el caso de Safari, Firefox, Seamonkey u Opera, las opciones están relativamente escondidas, y no suele ser habitual que los usuarios lo cambien.
Con Internet Explorer, sencillamente no existe tal opción.
En cambio, con Chrome/Chromium/Iron, la mencionada preferencia está más que accesible, y he visto en varios equipos que está configurada de esta manera, lo cual, es sin duda una grave brecha de seguridad.
Además, como lo más común es fijar la ubicación por defecto para el contenido descargado en un lugar bien accesible, nada es tan sencillo como crear una página que obtenga archives con nombre más o menos engañosos, y que pretendan ser ejecutados accidentalmente. Pienso en los ya tradicionales backdoors como keygen.exe o crack.exe.
Aquí, he creado una sencilla página HTML que fuerza la descarga de un archivo VBS que alberga en su interior un VBS sacando un mensaje por pantalla. No os preocupéis, porque lo único que hará es obtener un ZIP, que VBS que saca por pantalla un mensaje inofensivo.
Hay que reconocer que ciertas extensiones de archivos directamente ejecutables como EXE o VBS muestran una advertencia en la implementación del navegador de Google, aunque el riesgo de descargar un ZIP como el demostrado, es evidente.
Claro que no tendría por qué ser así, y podría ser un contenido realmente malicioso, que se descargaría sin que apenas te dieras cuenta, y que quedaría alojado en tu carpeta predeterminada de descargas esperando a que lo ejecutaras por accidente o curiosidad.