О сервлете и конфигурации сессии в Tomcat
Я предлагаю, чтобы Вы использовали коммерческий сканер безопасности веб-приложения. Список WASS: http://www.webscanners.net/webscanners/index.html
i) Если веб-приложение содержит два сервлета, и клиент получает доступ к этим двум сервлетам с помощью надлежащих URL, сколько сессий создается? Один или два?
Один клиент всегда создает одну сессию к веб-приложению с одним браузером - поэтому, получает ли он доступ к одному сервлету или многим, они - вся часть того же HttpSession - пока сессия не испытывает таймаут. т.е. время простоя
ii) Можно было использовать HTTPS для одного сервлета а не для другого? Это имеет смысл?
Да Вы банка может настроить шаблон URL для https, чтобы включать один сервлет и сохранить другой за пределами него, который абсолютно возможен - но это зависит от чувствительности Вашей страницы. обычное эмпирическое правило, за которым некоторые следуют, если у Вас есть какая-либо страница, которая достаточно чувствительна для https, затем почему не целое приложение на https.