Estou à procura de uma explicação simples de inglês, "for dummies", sobre como o JSESSIONID funciona a partir de aspectos de segurança

Alguém que saiba apenas minha JSESSIONID atual personifica / seqüestra minha sessão?Em quais cenários JSESSIONID fará parte do URL, e isso éOWASP # 2 risco de segurança (cenário # 1) ainda é relevante para as versões mais recentes do Tomcat / Glassfish e, em caso afirmativo, o que "desligar / ligar" para evitar isso?