Может ли кто-то, кто просто знает мой текущий JSESSIONID, выдать себя за мой сеанс или перехватить его (Tomcat 7/Glassfish 3.2 ))?

Я ищу простое английское объяснение «для чайников» того, как работает JSESSIONID с точки зрения безопасности

• Может ли кто-то, кто просто знает мой текущий JSESSIONID, выдать себя за / перехватить мою сессию?
• В каких сценариях JSESSIONID будет частью URL-адреса, и является ли этот OWASP #2 риск безопасности(сценарий #1 )актуальным для последних версий Tomcat / Glassfish, и если Итак, что "выключить/включить", чтобы предотвратить это?