애플리케이션의 인증 및 권한부여 요구사항을 조정하는 것에 더불어 Acegi Security는 인증되지 않은 웹 요청이 특정한 속성을 갖게끔 할 수 있다. 이러한 속성들은 특정 전송 타입이 되는 것을 포함할 수도 있으며, HttpSession의 상세한 속성 집합 등과 같은 것들을 포함한다. 대부분의 일반적인 요구사항은 여러분의 웹 요청이 특정한 전송 프로토콜, 가령 HTTPS와 같은 전송 프로토콜을 이용하여 수신하도록 한다.

전송 보안에서 고려해야할 한 가지 중요한 문제는 세션 하이재킹(session hijacking)이다. 여러분의 웹 컨테이너는 쿠키나 URL 재작성(URI rewriting)을 통해 사용자 에이전트로 전송되는 jsessionid를 참조하여 HttpSession을 관리한다. 만약 jsessionid가 HTTP를 통해 전송된적이 없다면 사용자가 인증 절차를 완료하고 난 다음 세션 식별자가 중간에 가로채여 사용자를 가장할 가능성이 있다. 이는 대부분의 웹 컨테이너가 주어진 사용자에 대해 동일한 세션 식별자를 유지하기 때문인데, 심지어 HTTP에서 HTTPS 페이지로 교체한 후에도 그러하다.

여러분의 개별 애플리케이션에서 세션 하이재킹이 매우 중대한 문제로 받아들여 진다면, 유일하게 선택할 수 있는 것은 모든 요청에 대해 HTTPS를 이용하는 것 뿐이다. 이는 안전하지 않은 채널로는 결코 jsessionid가 전송되지 않을 것을 의미한다. 여러분은 web.xml에 정의되어 있는 <welcome-file>이 HTTPS 위치를 가리키도록 할 필요가 있는데, 그렇게 하면 애플리케이션은 절대로 사용자를 HTTP 위치로 재지정하지는 않을 것이다. Acegi Security는 후자에 관한 문제를 다루는데 도움되는 솔루션을 제공하고 있다.