se può essere di qualche utilità, mi basta anche sostituire "localhost" con "127.0.0.1" per fare in modo che la sessione non venga più riconosciuta...

può essere che devo settare qualcosa in tomcat?
uso eclipse con i webtools, quindi io il file web.xml non l'ho toccato minimamente...