Reflections als Sicherheitslücke um Sicherheit "nach unten zu drücken"

Da ich mal wieder so ein wenig Google bemüht habe weil ich mal wissen wollte ob man AES256 auch nutzen kann ohne die unlimited policies zu installieren bin ich bei SO auf folgenden Code gestoßen:

        final Class<?> cryptoPermissions = Class.forName("javax.crypto.CryptoPermissions");
        final Class<?> cryptoAllPermission = Class.forName("javax.crypto.CryptoAllPermission");

        final Field isRestrictedField = jceSecurity.getDeclaredField("isRestricted");
        isRestrictedField.setAccessible(true);
        isRestrictedField.set(null, false);

        final Field defaultPolicyField = jceSecurity.getDeclaredField("defaultPolicy");
        defaultPolicyField.setAccessible(true);
        final PermissionCollection defaultPolicy = (PermissionCollection) defaultPolicyField.get(null);

        final Field perms = cryptoPermissions.getDeclaredField("perms");
        perms.setAccessible(true);
        ((Map<?, ?>) perms.get(defaultPolicy)).clear();

        final Field instance = cryptoAllPermission.getDeclaredField("INSTANCE");
        instance.setAccessible(true);
        defaultPolicy.add((Permission) instance.get(null));```
Da man so nun zur Runtime die Sicherheit "nach oben ziehen" kann stellt sich mir die Frage: Das wird man sicher auch umdrehen können in dem man zur Runtime die Sicherheit soweit nach unten drückt um einen möglichen Angriffspunkt zu finden. Bin mal gespannt ob und wenn wann das ausgenutzt wird.

Bringt mal wieder die Frage auf: Warum liefert Oracle das JRE immer noch mit dieser Beschränkung aus obwohl diese mitlerweile aufgehoben und scheinbar für andere US-Unternehmen (z.B. Google und Microsoft) bei ihren Produkten (OS/Browser) nicht zu gelten scheint?