Estoy usando Tomcat en mi entorno de producción y embarcadero en mi entorno de prueba (a través de jetty-maven-plugin).

Tomcat establece el indicador de seguridad en una cookie jsessionid, cuando se envía a través de un canal seguro (https), lo que me parece una buena idea, porque evita que la sesión se exponga, cuando el usuario hace clic en unhttp: // - enlace. ¡Pero Jetty no lo hace!

Me gustaría obligar a Jetty a comportarse como Tomcat y siempre establecer el indicador de seguridad en jsessionid-cookies enviadas a través de un canal seguro, porque de lo contrario, mi entorno de prueba se comporta considerablemente diferente que mi entorno de producción. Pero no puedo encontrar ninguna opción de configuración para lograr esto.

También me pregunto si se trata de un error de seguridad en Jetty. Porque no marcar un envío jsessionid-cookie en un canal seguro como seguro revela la sesión segura si el usuario vuelve a cambiar a un canal no seguro.