Vermutlich keine die Dir besser gefällt.
Für den Fall das sich Entwickler und Nutzer der Anwendung nicht kennen ist das Verhalten oben schon das Optimum. Die Anwendung will außerhalb der Sandbox agieren, die Sandbox erfragt genau die benötigten Rechte beim Nutzer und die Sache läuft. Der Nutzer braucht dann keine Sorgen zu haben, dass ihm die Anwendung nebenher noch die Platte leerräumt.
Dahinter steht die JNLP API, die für viele Einsatzmöglichkeiten eine feingranulare Zugriffsteuerung erlaubt. Die Anwendung zu signieren und dann gleich alle Zugriffsrechte einzufordern wäre eine andere Möglichkeit. Schön ist das für den Nutzer aber nicht, er ist dem Entwickler dann hilflos ausgeliefert. Der Nutzer hat nur die Wahl dem Entwickler zu vertrauen oder eben nicht.
Für interne Zwecke ist das policy file schon sehr gut. Je nach Sicherheitsanforderungen muss man lediglich ein wenig aufpassen, das man nicht versehentlich zu viel erlaubt. So wie Du das jetzt eingetragen hast, gilt diese Regel für alle. Das heißt, ein "Evil Applet" darf auch aus der Sandbox raus und sich mit den beiden Rechnern verbinden. Man kann das im policy file auch weiter einschränken (codeBase und signedBy). Wird dann das policy file zusammen mit einem Zertifikat (kann ein selbst signiertes sein) auf die betroffenen Rechner ausgerollt (in den dortigen trust store importiert), kann man die Anwendung sehr sicher gestallten. Dazu die Anwendung signieren aber nicht alle Rechte einfordern und "Trusted-Only: true" sowie "Sealed: true" ins Manifest der Jars. Weil das Zertifikat bereits im trust store des Nutzers ist, kommt es zu keinerlei Nachfragen beim Nutzer. Gleichzeitig ist sichergestellt, dass nur dieser speziell signierte Code die erlaubten speziellen Rechte bekommt. Versucht sich anderer Code da einzumischen, schreitet die Sandbox ein.
Ob man diese Sicherheit braucht / will ist aber eine andere Frage. Daher ist die Lösung die Du jetzt hast vermutlich schon ziemlich gut.
Viele Grüße,
Fancy
