¿Puede alguien que simplemente conoce mi JSESSIONID actual suplantar / secuestrar mi sesión (Tomcat 7 / Glassfish 3.2)?

Estoy buscando una explicación simple en inglés, "para tontos" de cómo JSESSIONID funciona desde aspectos de seguridad

¿Puede alguien que simplemente conoce mi JSESSIONID actual suplantar / secuestrar mi sesión?En qué escenarios JSESSIONID formará parte de la URL, y es estoRiesgo de seguridad OWASP # 2 (escenario n. ° 1) sigue siendo relevante para las últimas versiones de Tomcat / Glassfish y, en caso afirmativo, ¿qué "activar / desactivar" para evitarlo?

Respuestas a la pregunta(1)

Su respuesta a la pregunta