du haust hier gerade wirklich einiges durcheinander
worum es geht : darum das oracle die jar-spezifikation verschärft hat was zu nötigen anpassungen bei applets und webstart-apps führt
was du versuchst daraus zu machen : irgendwelchen servlet- und embedded-kram
zeigt doch schon : du hast dich mit der thematik um die es hier geht nicht beschäftigt
an server-code oder "retail-apps" muss man nichts ändern ... sondern lediglich an applets und webstart-apps ... und für diese gab es schon immer recht strenge vorschriften ... und wenn oracle die jetzt ein bisschen anzieht ist es aufgabe des anwedungs-entwickler diesen änderungen zu folgen um eben konform zu der ausführungs-platform des users zu sein ...
oracle selbst stellt wie gesagt nur die platform bereit ... ist aber mit sicherheit nicht dafür verantwortlich das anwendung XY korrekt läuft ... und schon gar nicht wenn diese nicht den spezifikation entspricht ...
und zum punkt das es angeblich nirgendwo einsehbar gewesen wäre : RELEASE NOTES !
Changes to Security Slider:
The following changes to Security Slider were included in this release(7u51):
Block Self-Signed and Unsigned applets on High Security Setting
Require Permissions Attribute for High Security Setting
Warn users of missing Permissions Attributes for Medium Security Setting
es wird also ganz eindeutig erklärt : in der standard-einstellung "hohe sicherheit" (und der slider hat ja nur noch medium, high und very high) eine gültige signatur sowie im manifest ein permession-tag vorhanden sein muss ... und alles was dem nicht gerecht wird blockiert wird
weiter unten ist zwar noch das hier zu finden
Exception Site List:
The Exception Site List feature allows end users to run Java applets and Java Web Start applications that do not meet the latest security requirements. Rich Internet Applications that are hosted on a site in the exception site list are allowed to run with the applicable security prompts.
aber warum das nicht richtig läuft ... hmm .. bug-tracker
um es also noch mal ganz kurz zusammen zu fassen
1) oracle hat die sicherheitsrichtlinien verschärft und dies auch gekennzeichnet
2) anwendungen die diesen neuerungen nicht nachkommen werden zukünftig blockiert
3) das feature "exception list" hat noch die eine oder andere macke
und um dir noch mal richtig eins reinzudrücken : es ist aufgabe des anwendungs-entwicklers seine produkte zu warten
oder ums runter zu brechen : du bist in der pflicht den kram bei deinem kunden aktuell zu halten
ist das nicht möglich (warum auch immer) wird die anwendung halt möglicherweise nicht mehr richtig oder gar nicht mehr funktionieren