aunque no se puedan bajar archivos del servidor via http, siempre son mas vulnerables los archivos que estan en dominio
publico, por eso es aconsejable que los datos confidenciales y sensibles , como contraseñas , claves y demas esten en el directorio fuera del alcance via navegador, antes del tipico htlm-public, o, www o algo asi, o bien protegerlos con .htacces y compañia.

un saludo