<div dir="ltr"><div>Hi Florian,<br><br>Yes it could be seen that way, as we discussed with Emmanuel during the Paris BSP today, but in fact it's even better, I checked and there is no problem with Tomcat as  the Secure flag as it already automatically set with the default configuration:<br></div><div><br>  - if Tomcat is accessed through the HTTPS connector, all cookies are secure thanks to the connector Secure option which is set by default,<br></div><div>  - if Tomcat is accessed through the AJP13 connector, Apache (or other webserver) transfers through the AJP protocol the information wether the connexion was through SSL or not, Tomcat uses it to set the Secure flag accordingly.<br><br></div><div>So the upstream patch perfectly solves the issue and I was able to apply it successfully on the current package source: <a href="https://github.com/yannrouillard/pkg-jenkins">https://github.com/yannrouillard/pkg-jenkins</a><br><br></div><div>Yann<br></div><div>   <br>  <br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2014-11-15 18:21 GMT+01:00 Florian Weimer <span dir="ltr"><<a href="mailto:fw@deneb.enyo.de" target="_blank">fw@deneb.enyo.de</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">> There is already an upstream bug for this problem located at this url:<br>
> <a href="https://issues.jenkins-ci.org/browse/JENKINS-25019" target="_blank">https://issues.jenkins-ci.org/browse/JENKINS-25019</a><br>
> with a proposed fix that only adresses the HttpOnly issue for Tomcat.<br>
<br>
Why isn't the missing “secure” flag a Tomcat configuration issue?<br>
</blockquote></div><br></div>