A pesar de los cambios introducidos por Oracle en el plugin de los navegadores en Java SE 7 Update 21, parece que todavía quedan muchos asuntos por resolver relativos a la seguridad de los Applet. A partir de esta revisión de Java, un Applet no firmado, incluso uno que se ejecuta dentro del sanbox sin necesitar ningún tipo de permiso especial, produce múltiples advertencias bastante diseñadas para "dar miedo" al usuario del Applet.
Aún con este cambio, hay muchas cosas que todavía no están funcionando correctamentecon los Applet y Jerry Jongerius parece que se ha puesto como objetivo poner todas estas cosas de manifiesto. En una serie de blog post está destapando un problema tras otro relativo al actual funcionamiento de los Applets. Por ejemplo, el hecho de que el nombre de una aplicación firmada, o la URL desde la que se descarga, puede cambiarse a posteriori sin que esto produzca ningún mensaje de advertencia para el usuario (se muestra un ejemplo en la imagen).
Además, parece haber múltiples atributos del MANIFEST.MF que simplemente no son respetados de modo adecuado por la máquina virtual Java. Por ejemplo, si uno firma un Applet (como Oracle recomienda que se haga ahora con absolutamente todos los Applet), pero quiere que su Applet se ejecute dentro del sandbox porque no requiere ningún permiso especial y emplea el atributo "Permissions: sandbox" del MANIFEST.MF, la máquina virtual erróneamente va a bloquear el Applet impidiendo que se ejecute (en la imagen se muestra un ejemplo).
A todo esto se añade el hecho de que firmar un Applet que no requiere permisos especiales y que se puede ejecutar dentro del sandbox hará que en versiones anteriores de Java (Java 6 y anterior) se le muestre un mensaje al usuario diciendo que nuestro Applet quiere permisos para acceder a todos los recursos de nuestra máquina sin restricciones, cuando esto no es realmente cierto.
Recomiendo fuertemente la lectura de todos los problemas que Jerry Jongerius apunta en su blog. Ha hecho un excelente trabajo recopilándolos y demostrándolos, y es altamente preocupante. Desde mi punto de vista, siendo este el estado de las cosas, JavaFX no tiene ni una sola opción de despegar.