Sì : le applicazioni desktop e server Java sono fondamentalmente protette.
Quando si esegue un'applicazione desktop - Skype, Picassa, qualunque sia - si dà a tale software pieno accesso al computer. Devi fidarti del software.
Al contrario, quando si esegue un'applet Java nel browser Web, l'applet viene eseguita in un ambiente limitato denominato sandbox. La sandbox esiste quindi non devi fidarti dell'applet Java.
Java ha avuto molte vulnerabilità; quasi tutti sono "fughe di sandbox". In altre parole, se stai utilizzando una vecchia versione di Java, un'applet dannosa può uscire dalla sandbox e assumere il controllo del tuo computer.
Non molte tecnologie supportano le sandbox. In realtà, ci sono solo tre tecnologie comuni in cui le persone eseguono regolarmente software non attendibili: Java, JavaScript e Flash. Tutti questi hanno avuto molte vulnerabilità di escape sandbox, il che dimostra la difficoltà di scrivere una sandbox sicura.
Quando esegui Java sul desktop o su un server, ti fidi del codice Java che stai utilizzando, quindi non ti stai affidando alla sandbox. In tale contesto, la preoccupazione principale è se i dati non attendibili possono interferire con l'applicazione. Ad esempio, se stai parlando con qualcuno su Skype, potrebbero inviare un messaggio dannoso che Skype maltratta e consente loro di assumere il controllo del tuo computer. (Sto solo usando Skype come esempio qui).
Ci sono stati pochissimi casi in cui i bug nel runtime Java avrebbero consentito l'hacking di un'applicazione desktop o server. In genere ciò accade a causa di bug nel codice dell'applicazione, non di Java stesso.