Srs, passei por uma situação meio estranha hoje.
Após ter configurado no web.xml da aplicação uma security constraint englobando toda a minha aplicação (pattern = /*) com CONFIDENTIAL (para forçar todas as conexões via https).
Por algum motivo em UMA máquina (dentre cerca de 5 onde isso foi testado) acessando a aplicação rodando no meu servidor era possível acessar a raiz da aplicação (http://localhost:8080/app/) sem ser jogado automaticamente para https://localhost:8443/app/ enquanto nas outras funcionava exatamente como esperado.
Mais bizarrices:
-
Nessa máquina com comportamento estranho era possível acessar inclusive páginas internas da aplicação sem ser forçado para o https, contando que a url permanecesse apontando para a raiz da aplicação (o que acontece num conjunto grandinho de páginas, seja por usarem frames ou por usarem forwards em vez de redirects).
-
O problema foi resolvido com um F5.
EDIT pois acabei postando antes de concluir:
Alguém tem alguma idéia sobre o motivo disso?