Eens met SirDice.
Verreweg de meeste "Java kwetsbaarheden" hebben ermee te maken dat het sandboxmodel om untrusted code vanaf internet
veilig binnen de webbrowser te kunnen uitvoeren defect is. De malware die je vandaag via telegraaf.nl geserveerd kreeg breekt uit die sandbox en kan dan net zoveel als een programma dat de gebruiker op de PC start.
Bij Java code
uitgevoerd op de server (afkomstig van eigen schijf) hebben we het over trusted code (tenzij de programmeurs niet te vertrouwen zijn of je server is gecompromitteerd). Zie ook
https://en.wikipedia.org/wiki/JavaServer_Pages,
https://en.wikipedia.org/wiki/Java_Servlet en mijn reactie bovenaan
http://www.security.nl/artikel/42973/1/%22Java_is_houdbaarheidsdatum_gepasseerd%22.html.
Overigens is een webapplicatie waarbij zowel Java code op de server als een applet op de client draait, best denkbaar (de applet kan dan bijv. met een servlet communiceren om bepaalde interactiviteit te bieden; zie bijv.
http://stackoverflow.com/questions/6389947/java-applet-communicate-with-servlet-on-tomcat-server ). Als je zo'n model kiest voor doorsnee gebruikers (gamers?) loop je steeds meer kans dat gebruikers Java disabled hebben in hun webbrowser of geheel van hun systeem hebben gegooid.