Inaczej ma się sprawa z apletami, którym nie towarzyszy cyfrowy podpis. Te są umieszczane w piaskownicy (sandbox), obszarze odseparowanym logicznie od systemu komputerowego. Chociaż piaskownica nie zawsze gwarantuje nam stuprocentowe bezpieczeństwo, to w większości przypadków spełnia pokładane w niej nadzieje. Niektórzy, w tym Oracle, odnoszą się krytycznie do tej technologii i uważają, że system Certificate Authority (z usług którego korzystają piaskownice) nie gwarantuje bezpieczeństwa.

Inną kwestią, którą należy poruszyć, są różne poziomy bezpieczeństwa wspierane przez oprogramowanie Java. Java 7 wspiera trzy takie poziomy, a Java 8 (Update 20) tylko dwa (te najwyższe wspierane przez Javę 7). Obie wersje Javy w ustawieniu domyślnym wspierają drugi poziom, określany przez Oracle jako "high".

Zobacz również:

• Wszystkie problemy macOS 14.4 - lepiej nie aktualizować Maców
• Najnowsza baza danych Oracle została wzbogacona o kolejne funkcje AI

W przypadku wybrania drugiego poziomu, oprogramowanie nie pozwala domyślnie uruchomić apletu. Po wybraniu poziomu pierwszego użytkownik musi najpierw umieścić aplet na specjalnej liście (whitelist). Najwyższy poziom bezpieczeństwa (very high) blokuje wszystkie bez wyjątku aplety, którym nie towarzyszy cyfrowy podpis.

Oprócz tych wszystkich poziomów bezpieczeństwa, istnieje jeszcze – usytuowana wyżej od nich - opcja "Enable Java content in the browser". Wybranie tej opcji oznacza, że aplety Java mogą być uruchamiane przez przeglądarkę. Opcja ta jest zawsze domyślnie wybrana. Możemy ją wyłączyć, co przekłada się na większe bezpieczeństwo. Użytkownik może wtedy bez przeszkód zainstalować i uruchomić na komputerze aplikacje korzystające z usług Javy. Aplikacje takie zachowują się w podobny sposób jak programy Windows uruchamiane w środowisku .NET. Z Javy korzystają np. takie programy Windows, jak Wuala, Minecraft czy OpenOffice.

Warto zauważyć, że całkowite wyłączenie Javy może spowodować, że przeglądarki uznają iż Java nie jest w ogóle zainstalowana. Firefox i Chrome nie umieszczą np. w takim przypadku Javy na liście wyszczególniającej zainstalowane wtyczki. Natomiast Internet Explorer 11 może się w takim przypadku zachowywać różnie, co zależy od wersji systemu Windows oraz wersji samej Javy.

Po zainstalowaniu oprogramowania Java 8/Update 25 i poproszeniu przeglądarki Firefox 33 o pokazanie listy dostępnych wtyczek, na ekranie pojawia się ostrzeżenie "Java Deployment Toolkit version 8.0.250.18 is known to be vulnerable”. Nie musi to być koniecznie prawda, ale zdarza się, że Firefox potrafi wygenerować taki błędny komunikat.

Przeglądarka Chrome 38 raportuje wtedy, że w systemie zainstalowane jest oprogramowanie Java wersja np. 11.25.2.18. Aby uzyskać więcej informacji, należy przejść do szczegółowego opisu danej wtyczki, gdzie pojawi się komunikat iż jest to Java 8 Update 25.

Uruchamianie apletów

Nawet w najlepszym przypadku (a więc po zainstalowaniu najnowszej wersji Javy i próbie uruchomienia podpisanego cyfrowo apletu), może się zdarzyć tak, że system nie uruchomi automatycznie apletu, a Java wygeneruje jakieś ostrzeżenie lub zada najpierw pytanie w rodzaju "Do you want to run this application".

Pytanie takie się może się np. pojawić podczas próby uruchomienia podpisanego cyfrowo apletu firmy Oracle, który sprawdza najpierw z jaką wersją Javy ma do czynienia.

Próba uruchomienia niepodpisanego cyfrowo apletu (nie znajdującego się na białej liście i przy włączonym poziomie bezpieczeństwa "high") skutkuje tym, że Java 7wyświetla komunikat "Application Blocked by Security Settings", a Java 8 komunikat "Application Blocked by Java Security".