Может ли кто-то, кто просто знает мой текущий JSESSIONID, выдать себя за / с помощью моей сессии (Tomcat 7 / Glassfish 3.2))?
Я ищу простой английский, "для чайников" объяснение того, как JSESSIONID работает с точки зрения безопасности
Can someone who merely knows my current JSESSIONID impersonate / hijack my session? In what scenarios JSESSIONID will be part of the URL, and is this OWASP #2 security risk (scenario #1) still relevant for latest versions of Tomcat / Glassfish, and if so, what to "turn off/on" to prevent it?