1) on Suppose que l'applet se fait reconnaitre avec des header spécifique (ce qui ne sert à rien comme l'a dit l'autre) 2) Ton Flux https (et donc tous le transit de l'applet) n'est en effets pas sniffable, mais si ton applet Java fait du FTP (OMG **No Sms** ???), la session FTP elle ne sera en rien protégé par le HTTPS.
Une (eventuel) solution vu que je ne connais pas le context.
Tu download l'applet qui ne contient pas de login/password. L'applet demande un login/password en au serveur https (en fonction de l'utilisateur connecté, ce qui demande d'avoir des users). Ce login/password est personnel et utilisé pour se connecter a des page d'upload/download en httpS.