Semplicemente.
Se un attaccante riesce a modificare il file in download allora riesce anche a modificare la pagina dove sta scritto l'MD5: non sono sullo stesso sito, ma fanno parte di connessioni sniffate assieme.
Frase assolutamente senza senso (sniffing?!?).

Che l'unico caso davvero sensato che vedo è qualora il sito dove sta l'hash utilizzi un tunnel SSL.
Ovvero non sarà possibile la modifica di quell'hash da un attaccante.
Che c'entra SSL con MD5 et simila? Che intendi con "modifica"?