Czy ktoś, kto zna tylko mój obecny JSESSIONID, podszywa się pod moją sesję (Tomcat 7 / Glassfish 3.2))?

Szukam prostego angielskiego, „dla manekinów” wyjaśnienie, w jaki sposób JSESSIONID działa z aspektów bezpieczeństwa

Czy ktoś, kto zna tylko mój obecny JSESSIONID, podszywa się pod moją sesję?W jakich scenariuszach JSESSIONID będzie częścią adresu URL i czy jest toZagrożenie bezpieczeństwa OWASP # 2 (scenariusz nr 1) nadal dotyczy najnowszych wersji Tomcat / Glassfish, a jeśli tak, to co „wyłączyć / włączyć”, aby temu zapobiec?

questionAnswers(1)

yourAnswerToTheQuestion