Java hat imho absolut genauso Daseinsberechtigung, wie jede andere API, die sowohl für Web-Browser als auch für Desktop-Anwendungen genutzt werden kann. Es ist ja nun nicht so, als wäre Java mit diesem Ansatz allein. Mir fallen dabei sofort ActiveX, Adobe AIR, sowie diverse Ambitionen von Web-Browser-Entwicklern ein, Webanwednungen zu Desktop-Anwednungen zu machen.
Den User, der von Java-6-Lücken betroffen ist, aus der Schuld zu nehmen, halte ich daher für falsch. Wer mit einem Spiel aus dem Jahr 2009 ohne es zu merken Adobe AIR installiert hat, kann genauso von Sicherheitslücken betroffen sein - diese sind nur weniger populär. Und die JRE von Oracle für Windows wird ja grundsätzlich mit einem Updater installiert - wenn man die Updates dann nicht installiert, ist man genauso schuld, wie wenn man Windows Updates nicht installiert.
In größeren Unternehmen ist das nicht weiter tragisch. Die Unternehmensfirewall (eine Firewall ist ein Rechner, der verschiedene Netzwerke sauber und sicher voneinander trennt) dürfte Java-Web-Applets sowieso blocken. Und hier gibt es Sicherheitsupdates. Unternehmen, die noch Java6 im Intranet einsetzen, wissen schon, was sie tun. Man kann auch Java 6 udn Java 7 parallel installieren und WebApplets nur für Java 7 erlauben.