Ich bin auf der Suche nach einer einfachen englischen "für Dummies" Erklärung, wie JSESSIONID unter Sicherheitsaspekten funktioniert

Kann jemand, der meine aktuelle JSESSIONID nur kennt, meine Sitzung übernehmen?In welchen Szenarien wird JSESSIONID Teil der URL sein und ist dies?OWASP # 2 Sicherheitsrisiko (Szenario Nr. 1) ist immer noch relevant für die neuesten Versionen von Tomcat / Glassfish. Wenn ja, welche Option muss aktiviert / deaktiviert werden, um dies zu verhindern?