我有一个简单的IM /聊天程序。 Android客户端通过HTTP（以及用于跟踪会话的JSessionID）将用户名和消息发送到我的服务器。我想避免恶意用户以其他用户身份发布。

我是否需要担心有人坐在咖啡厅附近，并窥探他们的JSessionID并以我的用户身份发布？或者，在我第一次联系服务器并最初获取我的JSessionID时，侦听我发送到服务器的用户名和密码？

侦听/侦听问题有多少？如果是，我该如何防范？

在可公开访问的WLAN上-可以。在3G网络上-也许可以。这是可能的，但是非常昂贵，通常对斯克里普小子不可用。

由于不能确定，无论用户使用WLAN还是3G，都应采取预防措施。有好的做法：
  -使用https
  -不要在设备上存储用户凭据（改用0auth）

尽可能偏执