https ile yapılan bağlantıların şifrelidir fakat metadata bilgileriniz her türlü gider. Örneğin bağlanmaya çalıştığınız domain gibi. Http to https yapıyorsanız bağlanılar adresde görülür.
Örneğin http://example.com/123 adresine girmeye çalıştınız ve sizi https://example.com/123 aresine yönlendirdi. Ağınızı izleyen biri "123" sayfasına girmeye çalıştığınızı görebilir. Direkt olarak https://example.com/123 adresine bağlansaydınız sadece https://example.com sitesine girdiğinizi görebilirdi fakat hangi sayfaya girdiğinizi göremezdi.
MITM atackları ile http to https yapmadan önce aktraılan data ile oynayıp sizi başka bir yere yönlendirip hiç https bağlantı kurmadan bağlandırarark saldırı düzenlenebiliniyor. Bu gibi durumlara çözüm olarak HSTS ( siteye daha önce bağlanmış olmanız gerekir ), tarayıcılarda always https modu ( Firefox şuanda default olarak kullanıyor olması lazım ).
En önemli güvenliklerde biride şifrelenmiş dns olacaktır. Dnscrypt gibi. Android son sürümlerinde artık destekliyor. Windows içinse https://adguard.com/tr/adguard-home/overview.html home öneririm, reklamlar içinde bir engelleme yapmış olursunuz.