a nasty bug found last year here is the text
but you should not have to touch the code as long as jvmRoute tracks Sessions via JSESSIONID here is text
> We use apache and glassfish and specify jvmRoute for
> connecting apache and glassfish instance.
> If we use jvmRoute glassfish use JSESSIONID cookie. We tried
> to check JSESSION cookie is secure in HTTPS protocol.
> But it not work properlly. We find fix point in glassfish
> source. It's javax.servlet.http.Cookie.OutputBuffer.java
> In that source JSESSIONID is set secure if protocol is
> secure. We fix source code and the problem is gone.
>
> In method private void addSessionCookieWithJvmRoute() we add
> below at line 704 of OutputBuffer,java
>
> if (req.isSecure()) {
> cookie.setSecure(true);
> }
http://forums.java.net/jive/thread.jspa?threadID=42847
https://glassfish.dev.java.net/issues/show_bug.cgi?id=5200
did Jan Luehe commit the patch into 9.1.1_b43 distro?
?
Martin Gainty
______________________________________________
Verzicht und Vertraulichkeitanmerkung/Note de déni et de confidentialité
Diese Nachricht ist vertraulich. Sollten Sie nicht der vorgesehene Empfaenger sein, so bitten wir hoeflich um eine Mitteilung. Jede unbefugte Weiterleitung oder Fertigung einer Kopie ist unzulaessig. Diese Nachricht dient lediglich dem Austausch von Informationen und entfaltet keine rechtliche Bindungswirkung. Aufgrund der leichten Manipulierbarkeit von E-Mails koennen wir keine Haftung fuer den Inhalt uebernehmen.
Ce message est confidentiel et peut être privilégié. Si vous n'êtes pas le destinataire prévu, nous te demandons avec bonté que pour satisfaire informez l'expéditeur. N'importe quelle diffusion non autorisée ou la copie de ceci est interdite. Ce message sert à l'information seulement et n'aura pas n'importe quel effet légalement obligatoire. Étant donné que les email peuvent facilement être sujets à la manipulation, nous ne pouvons accepter aucune responsabilité pour le contenu fourni.
> Date: Sat, 30 May 2009 15:02:14 -0700
> From: glassfish_at_javadesktop.org
> To: users_at_glassfish.dev.java.net
> Subject: Java App Server 8.1 - secure cookies/JSESSIONID
>
> Is there a way to set secure cookies for the session (JSESSIONID) in Java App Server v8.1 ? We have not yet completed a migration to Glassfish v2.1, so I need to do this if possible in the old version of the app server.
> [Message sent by forum member 'jslone42' (jslone42)]
>
> http://forums.java.net/jive/thread.jspa?messageID=348524
>
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: users-unsubscribe_at_glassfish.dev.java.net
> For additional commands, e-mail: users-help_at_glassfish.dev.java.net
>
_________________________________________________________________
Hotmail® has ever-growing storage! Don’t worry about storage limits.
http://windowslive.com/Tutorial/Hotmail/Storage?ocid=TXT_TAGLM_WL_HM_Tutorial_Storage1_052009