Я думаю, что Вы описали все правильно. Уточню тока пару деталек.
>> точно не томкатовская HttpSession?
Скорее всего она.
>> 9. Каким-то колдунством кто-то выясняет что это юзер Ю с той же машины, и диалог с 2-м апплетом (А2) пойдет в той же самой сессии что и с А1.
Никакого колдовства нет, по-видимому, сессия привязана к IP.
>> 12. А1 и А2 параллельно работают с данными через RMI, оба логина и Х и У имеют права не только на чтение но и на модификацию данных, так как доступ к данным авторизируется сессией, а она у них одна.
Почти так. Я опустил для простоты, что там они еще выбирают некоего "манданта" (всего этих мандантов три, один называется "дефолт", другой основной, а третий - *. В базе данных прописаны только первые два. Изменять данные имеет право только основной мандант, остальные два имеют только права на чтение, вот тут и возникает проблема: если в одном окне выбран дефолт или *, то измененные данные записываются на счет дефолта и в итоге теряются). Но для того, чтобы решить проблему, все это несущественно.
>>13. А1 и А2 помирают, потому как Ю не логаутится а просто выключает браузер. Сессия остается (все там же, черт знает где).
На веб-сервере?
>> Вроде как есть трюк - из неподписанного апплета писать и читать куки через яваскрипт используя JS- -.
А что такое "неподписанный" апплет?
Разве на самой Яве читать куки и писать в них нельзя? (если вопрос глупый, не убивайте, никогда с этим дела не имел)
Ну, и главное: если окно закрывается, куки об этом узнают?