Pytanie banalnie proste: czy zarządzający powierzonymi portfelami w funduszach używają Analizy Technicznej i czy wprowadza to jakąkolwiek wartość dodaną?
Niestety nie będzie to o polskich zarządzających lecz amerykańskich. A to dzięki specjalistycznej bazie PSN Enterprise, produktowi firmy Informa Investment Solutions, która gromadzi informacyjne opisy i comiesięczne wyniki inwestycyjne ponad 14 000 profesjonalnych zarządzających z ponad 2 000 firm. Ciekawostką jest to, że zbierając tego rodzaju dane, firma pyta przy okazji również o składowe procesu decyzyjnego, które zawierają się w 24 odnośnych pytaniach, a wśród nich pojawia się m.in to o korzystanie z A.T. Odpowiedź na każde z nich dopuszcza wybór jednej z pięciu możliwości, oceniających ważność danego elementu w procesie decyzyjnym jako: „bardzo ważne”, „ważne”, „wykorzystywane”, „nieważne”, „nie używane”. Zarządzający może odpowiedzieć tylko na wybrane pytania, które uzna, że dotyczą go najbardziej. Dodatkowo pojawia się prośba o wybór tej z 24 kategorii, która w sposób najmocniejszy wpływa na decyzje na rynku akcyjnym.
Owe informacje trzej akademicy w Nowego Yorku – Smith, Faugere i Wang – poddali solidnej obróbce a wyniki przedstawili w pracy p.t. „Head and Shoulders Above the Rest? The Performance of Institutional Portfolio Managers Who Use Technical Analysis”
//”Głowa z ramionami ponad resztą? Wyniki instytucjonalnych zarządzających portfelami, którzy używają Analizy Technicznej”//
Łącznie zanalizowano odpowiedzi i rezultaty inwestycyjne 10452 menadżerów, działających w USA lub globalnie, tylko na rynku akcji lub dodatkowo obligacji. „Bardzo ważna”, „ważna” lub po prostu „używana” jest A.T. łącznie wśród ok. 32% zarządzających na rynku akcyjnym w USA, a w najmniejszym odsetku zanotowano owe odpowiedzi sumarycznie wśród amerykańskich zarządzających funduszami mieszanymi – ok. 13%. Zakłada się przy tym w akademickiej literaturze, że o ile Analiza Fundamentalna (A.F.) ma pomóc w wyborze tego co kupić, to A.T. pomaga zadecydować kiedy kupić (timing), ale jak widać nie jest to nazbyt powszechne założenie w praktyce.
W kolejnym kroku sprawdzono korelacje między wyborem A.T. a innymi kryteriami decyzyjnymi. Najbardziej , bo w wysokości 0,38, koreluje się z tzw. strategią impetu czyli założeniem, że dobre stopy zwrotu w ostatnim czasie zostaną jeszcze kontynuowane w dalszym ciągu. A dalej, ok. 0,29 , znalazła się analiza sektorowa. Z A.F. korelacje są raczej luźne: 0,107.
Tylko 5% tych, dla których A.T. jest „bardzo ważna”, posiada certyfikat CMT (Chartered Market Technician), który wymaga zdania 3 egzaminów oraz praktyki , ale już tylko 2% wśród tych, dla których jest AT jest „ważna”.
No i najistotniejsze – wyniki. Te kalkulowano za lata 1993-2012, zarówno dla (a) „czystych” zwrotów na kapitale jak i (b) w porównaniu do benchmarków.
Ad (a)
Średnie miesięczne stopy zwrotu dla tych, którzy A.T. uznali za „bardzo ważną” wyniosły 0,99% (najwyższe wśród wszystkich grup), mediana 1,35% a odchylenie standardowe 4,19%.
Dla grupy tych, którzy podali A.T za „ważną” średnia miesięczna stopa zwrotu to 0,94%, mediana 1,4% a odchylenie standardowe 4,47% (najwyższe wśród grup).
Dla kontrastu grupa tych w ogóle nie używających A.T.: średnia miesięczna stopa zwrotu to 0,95%, mediana 1,48% a odchylenie standardowe 4,20%
Nie ma tu specjalnie wielkich odchyleń w zyskowności między grupami, różnice dają się zauważyć dopiero jeśli zaczynamy liczyć „alfa” czyli zwroty przewyższające benchmark.
Więc: Ad (b)
Średnie miesięczne stopy zwrotu ponad benchmark dla tych, którzy A.T. uznali za „bardzo ważną” wyniosły 0,27% (ponownie najwyższe wśród wszystkich grup), mediana 0,23% (ponownie najwyższa), a odchylenie standardowe 1,37%.
Dla grupy tych, którzy podali A.T za „ważną” średnia miesięczna stopa zwrotu ponad benchmark to 0,19%, mediana 0,15% a odchylenie standardowe 0,75% (najwyższe wśród grup).
Dla kontrastu grupa tych w ogóle nie używających A.T. (najliczniejsza zresztą): średnia miesięczna stopa zwrotu ponad benchmark to 0,18% (niższą o 0,01% mieli ci, którzy A.T. nie uważają za ważną), mediana 0,16%, a odchylenie standardowe 0,45% (tu z kolei najniższe).
Podobne proporcje wyszły ze statystyk liczonych po oczyszczeniu zwrotów z anomalii (typu spółki o niskiej kapitalizacji dają wyższe zwroty niż spółki o wyższej kapitalizacji).
Porównano również jak radzą sobie poszczególne grupy w różnych warunkach rynkowych (bessa, hossa). Statystyki wyglądają mniej więcej podobnie dla grupy używających i nie używających A.T. , jedna istotna różnica wyszła w badaniu „negatywnych warunków” czyli wówczas gdy indeksy rynkowe spadały: użytkownicy A.T. radzili sobie lepiej, bijąc benchmark o 0,2% bardziej niż zarządzający nie korzystający z A.T.
Proszę jeszcze spojrzeć na wykres zmian wartości portfela ponad benchmark dla zwolenników A.T. – niebieska krzywa, oraz nie używających A.T. – czerwona, przerywana krzywa:
Źródło: Head and Shoulders Above the Rest? The Performance of Institutional Portfolio Managers Who Use Technical Analysis”
Różnice nie są zapierające dech w piersiach, ale widoczne i statystycznie istotne. Skąd bierze się przewaga stosujących techniczne podejście? Otóż widać je w dwóch elementach statystycznych: kurtozie i skośności, pokazujących rozkład wszystkich wyników transakcji w stosunku do rozkładu normalnego.
Oto bowiem wyniki użytkowników A.T. charakteryzują się bardzo wysokimi wartościami obu tych parametrów. Wysoka, dodatnia kurtoza (tzw. leptokurtyczność) oznacza wysmukły i bardziej skoncentrowany rozkład wyników transakcji a więc duża ilość wejść na rynek o bardzo podobnych rezultatach (np. widać to gdy stawiamy stopy take-profit w podobnej odległości od wejścia i często są one osiągane oraz dość często wskakujemy na pozycję). Przy tym wysoka i dodatnia skośność oznacza rozkład przesunięty w prawo czyli spora część wyników układa się po stronie zysków co jest charakterystyczne dla transakcji, w których w miarę szybko ucina się straty.
—kat—-
32 Komentarzy
Dodaj komentarz
Niezależnie, DM BOŚ S.A. zwraca uwagę, że inwestowanie w instrumenty finansowe wiąże się z ryzykiem utraty części lub całości zainwestowanych środków. Podjęcie decyzji inwestycyjnej powinno nastąpić po pełnym zrozumieniu potencjalnych ryzyk i korzyści związanych z danym instrumentem finansowym oraz rodzajem transakcji. Indywidualna stopa zwrotu klienta nie jest tożsama z wynikiem inwestycyjnym danego instrumentu finansowego i jest uzależniona od dnia nabycia i sprzedaży konkretnego instrumentu finansowego oraz od poziomu pobranych opłat i poniesionych kosztów. Opodatkowanie dochodów z inwestycji zależy od indywidualnej sytuacji każdego klienta i może ulec zmianie w przyszłości. W przypadku gdy materiał zawiera wyniki osiągnięte w przeszłości, to nie należy ich traktować jako pewnego wskaźnika na przyszłość. W przypadku gdy materiał zawiera wzmiankę lub odniesienie do symulacji wyników osiągniętych w przeszłości, to nie należy ich traktować jako pewnego wskaźnika przyszłych wyników. Więcej informacji o instrumentach finansowych i ryzyku z nimi związanym znajduje się w serwisie bossa.pl w części MIFID: Materiały informacyjne MiFID -> Ogólny opis istoty instrumentów finansowych oraz ryzyka związanego z inwestowaniem w instrumenty finansowe.
A może ta róznica wynika nie tylko z czystego stosowania AT tylko że wyniki dzielone sa przez rózną ilość stosujących.
Na ponad 10000 zarządzających tylko 32% stosuje AT więc dzielenie przez większą część nie-Ateistów w stosunku do ATistów bardziej wypłaszcza wynik. Taka natura średniej.
Takie pytanie z innej beczki do BOŚ.
JAkie powiązanie ma BOŚ z firma Akamai Technologies USA?
@pit
Tam nie ma dzielenia. Liczone było jako średnia zmiana portfela w czasie, portfele były równo ważone.
O Akamai nie wiem, nie siedzę w BOŚ 🙂 ale poszukam kogoś kto wie
„Zakłada się przy tym w akademickiej literaturze, że o ile Analiza Fundamentalna (A.F.) ma pomóc w wyborze tego co kupić, to A.T. pomaga zadecydować kiedy kupić (timing), ale jak widać nie jest to nazbyt powszechne założenie w praktyce.”
To chyba dobrze świadczy o praktykujących 🙂 Tak mi się zdaje, że o tym, co jest warte zainteresowania mówi sam rynek (AT). Wyjąwszy oczywiście okresy powszechnego zniechęcenia (nazwijmy to negatywnym sentymentem), ale wtedy i tak nie czas na kupowanie, nawet perełek.
@Kat
„Liczone było jako średnia zmiana portfela w czasie”
Zara zara .. jak średnia to jest dzielenie . Nie ma inaczej.
Chyba ,że średnia dla losowege pojedynczego portfela z wybranej grupy, ale to nie ma sensu.
A co do Akamai to offtopicowo wyszło jak robiłem sobie dynamiczne dzielenie łacza na 3 kompy w domu.
Podglądając połączenia zauważyłem ,że otwierając stronę BOś ŁACZĘ SIĘ DODATKOWO z facebookiem choć nie korzystam i firma Akamai umiejscowioną w Cambridge Massachusetts.
Myślę ki diabeł 🙂
Na wydruku z programu netstat widac wyraźnie zestawione połaczenia /ESTABLISHED/ z BOŚ, ale także 2 z facebookiem i 2 z Akamai zaraz po włączeniu strony.
http://privatepaste.com/b069850975
Swoją droga dobrze wiedziec ,że poprzez stronę BOŚ łącze się z innymi firmami choć tego nie chcę i nie życzę sobię.
Zablokowałem sobie więc zakres numerów IP Akamai i jakież moje zdziwienie.
Stona BOŚ nie chce sie załadować całkowicie bez potwierdzenia połączenia z Akamai w Stanie Massachusetts w USA ????
Zwłaszcza blog.
Logiczne jest więc moje pytanie o powiązanie BOŚ-a z tą firmą skoro prawidłowe wyświetlenie strony BOŚ wymaga połączenia Z USA sic
!!!!
A to znalazłem w necie dla dociekliwych z czym mamy do czynienia:
www.matveev.se/net/akamai.htm
O facebooku nie wspomne choć to nie fair ,że wtyczki na stronie BoŚ też otwierają potajemne połączenia z facem choc ja osobiście nie korzystam i mam poblokowane to na poziomie filtrów przeglądarki.
@KAt
Mój komentarz oczekuje na moderację.
Wstawiłem linki pewnie.
„Zakłada się przy tym w akademickiej literaturze, że o ile Analiza Fundamentalna (A.F.) ma pomóc w wyborze tego co kupić, to A.T. pomaga zadecydować kiedy kupić (timing), ale jak widać nie jest to nazbyt powszechne założenie w praktyce.”
Być może nie jest powszechnie używane w praktyce, ale łezka mi się w oku zakręciła:P Przypomina mi to wypowiedź jednego z analityków z FXCM, który stwierdził (to jest właśnie jego sposób handlu), iż będąc long time trader założenie jest proste – ‚fundamentals don’t change often’, co daje nam clear directional bias. A gdy już wiemy, w którym kierunku jedziemy, to wystarczy tylko znaleźć dobrą stację (pullback), jump on and hang on for as long as you can! Easy peasy:)
@pit65
Widzę że paranoja masońsko-żydowska trzyma się w internecie dzielnie. Powodzenia. Akamai to firma hostingowa.
A mnie zastanawia jakby taki wykres wyglądał w innych przedziałach czasowych. Bo udowodnienie swoich racji dla jednego konkretnego przedziału IMO niewiele wnosi.
@Pompon
Pompon mnie nie o to chodzi.
Jak sie łączę z BOŚ to interesuje mnie domena którą BOŚ zarządza oczywiście może byc to gdziekolwiek na świecie i u każdego hostingodawcy.
Ale jak się łączę i moja osobista przeglądarka ściąga kod do łączenia z innym domenami by sobie coś tam zrobić a ja tego nie wiem to już jest nie fair i zaczynam być podejrzliwy.
Otóż dynamika strony BOŚ oparta jest o kod javascript.
W czasie łączenia z BOSiem ściągane są pliki przynajmniej 2 jeden
to biblioteka Jquery którą znam .
A drugi to moduł „json” w którym są funkcje do łączenia z Akamai, Facebookiem i jeszcze kilka robi to moja przeglądarka poza moją kontrolą , a umożliwia to BOŚ i nie ważne czy w dobrej czy złej wierze.
Żydostwo i masoństwo nie ma tu nic do gadania, ale elementarne podstawy security w necie sie kłaniają i termin „man in the middle”.
Jak bedę se chciał połączyc sie z facem , akamai czy innym dziadostwem za pośrednictwem BOŚ to w cywilizowanym necie są od tego jawne linki na stronie.
Wszystko inne poza powinno byc traktowane jako ciemna strona internetu zwłaszcza w firmie związanej z usługami bankowymi.
@pit
Wykres powstał na podstawie inwestycji symbolicznego 1 $ w portfele zarządzających wg. AT i tych spoza AT. Autorzy mieli dostęp do miesięcznych stóp zwrotu więc taka symulacja z wyciągnięciem średniej nie jest niczym niezwykłym i nie bardzo wiem co mieliby tam dzielić?
@Kat
OK . Nie wiem jak to wyrazić jaśniej.
Taka analogia Index ze 100 spółek , a index z 50 spółek.
Inwestujemy dolara w index.
Dynamika tych 50 winna być większa niż tych 100 ze wzgledu na róznicę ilości składowych co bardzo już jasno widać w przypadku większej róznicy np. Wig 20 lat temu , a dzisiaj.
Ja rozumiem wykres z postu jako index 30% z 10000 tys uzywających AT i 70% nie ateistów.
W ten sposób wyniki mogą odzwierciedlać używanie AT , ale trzeba by sobie powiedezieć z błędem nierównej grupy włączanej do badanego indexu AT i nie-AT która to róznica faworyzuje AT ze względu na dynamike zmian.Zauważ ,że na początku badań indeksy sie przecinają i może to jest to oczym mówię.
Jaśniej juz nie umiem 🙂
@pit
Chyba nie ma co tak daleko kombinować.
Jeśli zrobisz indeksy równo ważone AT i nie-AT i zainwestujesz po 1$ w oba to co za różnica dla inwestycji ile jest składowych w każdym z nich?
@ Administratorzy strony blogi.bossa.pl
Milczenie w kwestii poruszonej przez Pita jest znaczące. Przechodzimy do porządku dziennego nad niejawnymi połączeniami blogów z Akamai, Facebookiem (i kim jeszcze) – bo tak robią wszyscy?
Przyznam, że to jest pewien dylemat. Nakrycie jednej z lepszych merytorycznie stron w polskiej blogosferze finansowej na działaniach (jak to delikatnie okreslił Pit) „nie fair” wobec użytkowników daje materiał do przemyślenia.
@ _dorota
Wysłałem to dalej – dajcie chwilę.
tak na marginesie – technologicznie jestem w epoce kamienia, ale…
http://akamai-marketing.com/wordpress/2012/11/09/best-wordpress-plugins-business-blogging/
Jestem w stanie sobie wyobrazic, ze za stroną www stoi troche technologii ułatwiajacych jej uzytkowanie.
W tym wypadku stawiam na tę pierwszą rzecz, czyli „akismet” czyli coś co powoduje, ze nie czytamy w komentarzach reklam środków na potencje, ofert prawie oryginalnych zegarków itp
(majac nadzieje, ze zaraz ktos zajmujacy sie stroną techniczną blogów bossowych odpowie – nie używając niepotrzebnego żargonu)
@gzalewski
Technologie technologiami , a ułatwiające należy czytac uzależniające od czegoś lub kogoś.
BOŚ uzależnił wczytanie swojej strony od ściągnięcia dwóch bibliotek jscriptowych JSON3 z innej domeny czyli od innej firmy.
Wystarczy zamknąć dostęp do akmai i modlimy się by strona Boś mogła się otworzyć.
Rozumiem ,że jest niezbedna do tego by dynamika na stronach czyli interaktywność i wszystkie inne bajery funkcjonowały.
Natomiast zupełnie nie rozumiem dlaczego wchodząc na teren firmy bosowej każe sie mojej osobistej przeglądarce łączyć sie z inną firmą by otrzymać zestaw funkcji nad którymi BOŚ nie ma żadnej kontroli.
Nietrudno sobie wyobrazić ,że jakaś „zła pokojówka” może dodać w firmie Akamai inny kod który to wytransferuje z mojej przeglądarki jakieś poufne dane np pliki haseł etc.
Jeżeli już te pliki miałyby być używane to powinienem je dociągnąć z domeny i serwerów nad którymi BOŚ ma kontrolę .Podstawa.
Niby to samo ale zapewniam ,że nie tak samo.
A szczegółowo to łącząc się z BOŚ przeglądarka każdego klienta ustanawia 2 połączenia z Akamai. Jedno szyfrowane.
Z tego co sprawdziłem nieszyfrowanym kanałem ściągamy bibliotekę all.js nie wysyłając nic w zamian natomiast szyfrowanym ścfiągamy mniejszą bibliotekę i wysyłamy w zamian 500 bajtów jakiś danych , ale ponieważ serwer z którym sie łączymy szyfruje transmisję więc ciężko powiedzieć czym uraczamy firmę Akamai.
W pliku bibliotek jscriptowych są wpisane adresy domen faca etc przez które funkcje jscriptu moga się łączyć z tymi adresami.
Jedno sobie trzeba powiedzieć , przeglądając jakąkolwiek stronę z elementami interaktywnym i bajerami ściągamy kod ktory to wprawia w ruch za pomocą naszej przeglądarki i lepiej by to był kod od kogoś z kim sie łączymy przynajmniej wiemy do kogo zapukać z reklamacją, a tak szukaj wiatru w ….USA.
Dwa dni temu jak obiecałem wyżej zgłosiłem temat w IT bossy.
Mam nadzieję, że Al Kaida i cyberhakerzy chińscy nie wysadzą nam blogów w powietrze 🙂
Jeśli ktoś ma jednak obawy o bezpieczeństwo to proszę zostawić adres mailowy na kathay at bossa pl, obiecuję przesłać odpowiedź jak tylko dostaniemy.
@dorota
> Przechodzimy do porządku dziennego […]
> Nakrycie […] „nie fair” […]
Z ciekawości zapytam, bo nie mogę się powstrzymać, a ostatnio palestra nie ma najlepszego PR w kraju:
To normalne że zanim wystąpi obrona i poznamy zeznania wszystkich stron oraz spróbujemy ustalić fakty, sędzia czy prokurator czy kto tam wali z wszystkich dział???
pit65 sry, ale piszesz nieprawdę.
Sprawdziłem i strona, na której jesteśmy łączy się z google-analytics (co mnie jakoś specjalnie nie przeraża odkąd Google Analytics jest najpowszechniej wykorzystywanym narzędziem do badania statystyk ruchu w serwisach internetowych) i facebookiem – do pobrania przycisków ‚lubię to’ (https://developers.facebook.com/docs/reference/plugins/like/).
Serwis natomiast nie nawiązuje połączeń z żadnymi serwerami, o których piszesz. Na przyszłość sprawdź dokładnie, nim zaczniesz siać panikę…
@Jasiek
NAapisałem jak jest i sie łączy przy ładowaniu tak jak napisałem.
Sprawdź dokładnie bo ja nie mam zamiaru żadnej paniki.
Uważasz ,że jest OK jest OK Twoja sprawa twój problem lub nie.
Zapuść sobie :
netstata z komenda watch by widzieć co sekunda dynamike zmian połaczeń , a jak korzystasz z windy to spreparuj plik batch-owski by ci to robił, a potem zapuść strone bedziesz widział.
A jak chcesz więcej to tcpdumpem podejrzysz połaczenie , wiresharkiem złożysz do strawnej postaci :-).
W cache-u przeglądarki są pliki zzipowane ściągnięte ze stron o których mówię rozpakuj i sobie przejrzyj.
a najlepiej poblokuj akamai na filtrach nie wiem jak na windzie bo nie używam i spróbuj otworzyć Bossę.
Coś się otworzy , ale z braku w/wym będzie się wczytywać dłuuuugo.
Serwis logowania do składania zleceń jest czysty.
Na przyszłość sprawdź dokładniej , a nie po łebkach 🙂
Do przycisków się nie czepiam tak jak i nie do google i nie tylko analitics , ale i fontów.
Masz jeszcze zrzut połaczeń sprzed chwili:
http://privatepaste.com/29ff832443
Numery IP z domeny teliacarier też należą do Akamai.
Jak na mój gust to za dużo tego .
Z mojej strony EOT , jak firma uważa ,że jest OK no cóż ja to inaczej widzę.Biblioteka JQuery też jest ściągana , ale z serwera bosiowskiego jak i pliki i jest OK.
Wszystko dokładnie sprawdzone.
@pit65
Odpowiadając na Twoje wątpliwości.
Na blogach zainstalowane są zewnętrzne pluginy, które nawiązują połączenia z zewnętrznymi serwerami (nie z adresacji bossa.pl).
Nasza strona jest jedną z milionów (jeśli nie miliardów stron, które korzystają z takich pluginów). Nie ma w tym nic nadzwyczajnego ani niebezpiecznego. Jest to standardowa praktyka na stronach firm świadczących również Usługi finansowe.
Co więcej, część biur maklerskich przy tworzeniu serwisu informacyjnego korzysta z zewnętrznych dostawców w ten sposób, że klient łącząc się ze stroną biura, nawiązuje połączenie ze stroną dostawcy. Na pierwszy rzut oka wszystko wygląda jak strona biura.
Piszę o tym, ponieważ jest to ogólna praktyka w internecie i nie do końca rozumiem dlaczego bossa została zaatakowana za „niecywilizowane praktyki” mimo tego, że są one stosowane powszechnie.
Powracając do bossy, muszę się odnieść do niedomówień (żeby nie powiedzieć pomówień).
Nie ma mowy o
– przesyłaniu haseł albo innych istotnych danych do zewnętrznych firm,
– bagatelizowaniu tematu bezpieczeństwa przez DM BOŚ,
– działaniach „nie fair” w stosunku do użytkowników bossa.pl np. przez ukrywanie informacji czy potajemnym przekazywaniu danych.
PS W odpowiedzi został użyty język potoczny, który żeby być zrozumiały dla większości może być nieprecyzyjny. Piszę o tym uprzedzając ataki dot. fachowości, dokładności i nieustosunkowania się do wszystkich zarzutów.
Jeśli będzie potrzeba odpowiemy również w języku technicznym.
PS2 Co do firmy Akamai to obawiam się, że większość z użytkowników internetu musi się do nich przyzwyczaić. W sieci można znaleźć informacje, że 20% światowego ruchu przechodzi przez ich serwery, a korzystają z ich usług największe potęgi internetu (np. firma na F, G czy nawet na M).
W przypadku pytań proszę o kontakt
makler[at]bossa.pl
@Jasiek.Jak nie nawiązuje? U mnie za kazdym razem przy wejsciu na bossa.pl jest połączenie z Akamai.Kilka razy sprawdzalm.Są adresy cyfrowe,po sprawdzeniu przez „whois” wychodzi ze to Akamai. Sa też podobne strony (bankowe) gdzie takich połączeń nie znalazłem.Nie widac np.zeby wejscie na „inwestoronline ” z bzwbk łaczyło z akamai.
@and
Strona, którą podajesz za przykład jest stroną do logowania, zabezpieczoną protokołem SSL – odpowiednią stroną do porównań dla niej, jest strona do logowania serwisu bossa (w przeglądarce poprzedzona „https://www.”). Przy okazji – strony tego typu, też łączą się z firmami zewnętrznymi, w celu uwierzytelniania certyfikatu.
Sprawa wyglądaj już nieco inaczej gdy dotyczy głównej strony informacyjnej wspomnianej przez Ciebie instytucji.
@ Kathay
„> Przechodzimy do porządku dziennego […]”
Tak. Po poście Pita na ten temat nastąpiła wymiana zdań między Wami, w której w żaden sposób nie skwitowałeś tego odkrycia. Gdyby nie moje wystąpienie wprost – tak by pozostało.
„> Nakrycie […] „nie fair” […]”
Potocznie mi się to określiło. Ładniej mówiąc: Pit zauważył coś, o czym znacząca większość użytkowników nie wiedziała (tak sądzę). Zaakceptujesz słowo „ujawnienie”? Jest to przy tym troszkę nie fair wobec użytkowników, że to tak pokątnie się działo, nie sądzisz?
Kathay, mnie chodzi o poinformowanie. Jeżeli bardzo ekskluzywny sklep z bielizną zamontuje kamerę w przymierzalni (oczywiście wyłącznie dla bezpieczeństwa klientek), to może należałoby je o tym poinformować. Wtedy miałyby wybór. Nie wiedząc – nie mają.
No cóż – stwierdzenia, że „miliardy stron”, „20% światowego ruchu przechodzi przez ich serwery”, a nade wszystko: „Co do firmy Akamai to obawiam się, że większość z użytkowników internetu musi się do nich przyzwyczaić” – to też jest jakieś wyjaśnienie. Przynajmniej wiemy, na czym stoimy. Choć można zauważyć, że 20%, to nie wszyscy (i nawet nie większość).
PS. Nie robiłabym takiego „ado”, gdyby nie to, że jesteście rzeczywiście wyjątkowi. Mam naprawdę zgryz, bo i tak prawdopodobnie będę Was czytać.
PS.2. Określenie „palestra” do mnie się nie odnosi (nie mam aplikacji). A „walenie z wszystkich dział” nie wygląda w ten sposób, możesz mi wierzyć 🙂
@Hanna Milewska
Dziekuje za odpowiedź.
Po pierwsze nie rozumiem zwrotu „bossa została zaatakowana” proszę mnie tak wysoko czy nisko wg uznania nie cenić.
„Powracając do bossy, muszę się odnieść do niedomówień (żeby nie powiedzieć pomówień).
Nie ma mowy o
– przesyłaniu haseł albo innych istotnych danych do zewnętrznych firm,
– bagatelizowaniu tematu bezpieczeństwa przez DM BOŚ,
”
Zupełnie nie na temat.Natomiast PR jest świetny IMO.
Nie odnosiłem sie zupełnie do bezpieczeństwa połączenia z BOŚ stricte i uważam , żę w tym kontekście w/wym stwierdzenia są jak najbardziej prawdziwe.
Pisałem natomiast ,że to moja osobista se przeglądarka nawiązuje połaczenie ze strona trzecią, a pośrednikiem ze względu na „miliardy” i tzw. „powszechność” 20% sic!!! stosowania i inne eufemistyczne zwroty jest tutaj strona BOŚ poprzez wybór takiej , a nie innej technologi w tym przypadku servletów jscriptu /nie jedynej zresztą i nie będącej w większości jak sie orientuję/.
Co więcej dotknałem tylko tematu kodu wykonywalnego przez przeglądarkę /konkretnie 2 bibliotek jscript/ .Nie tykałem fontów, obrazków, przycisków, tzw gogle analitics, verisign, captcha itp.
Skoro jest to kod wykonywalny ze strony trzeciej to BOŚ nie ma żadnej , ale to żadnej bezpośredniej kontroli nad nim i co zrobi w przeglądarce klienta.A zrobić może dużo.
I być może nie musi BOŚ mieć takiej kontroli , ale nie zmienia to faktu ,że kod został ściągniety w reakcji na wejście klienta bosiowskiego na stronę swojego usługodawcy, któremu UFA albowiem polisa jego zaufania rozciąga się na całość.
I w tym kontekście i tylko w tym mówienie ,że pod względem bezpieczeństwa jest OK bo powszechność i miliardy tak mają jest IMO nieporozumieniem i wg. mojego skromnego zdania „nie fair”.
Klient nie jest obowiązany znać wszystkich dostawców contentu do stron , a jeżeli coś ściąga , a już kategorycznie obcy kod wykonywalny to pozwalanie jego przeglądarce na bezpośrednie połączenie ze stroną trzecią jest pewnym wyłomem w bezpieczeństwie z punktu widzenia klienta.
Bezpieczeństwie klienta bosiowskiego bo bezpieczeństwo samego Serwisu jest nienaruszone o czym Pani zresztą pisze.
Odcinanie się od tego byc może pod względem prawnym jest OK bo co nas obchodzi przeglądarka klienta przecież miliardy tak mają .
A przecież wystarczy odrobina dobrej woli zamiast górnolotnych słów w stylu „klient bezpodstawnie atakuje swego pryncypała” i przekierować te pliki by były pobierane z serwisu bosiowskiego i tematu by nie było, a i bezpieczeństwo większe.
Nie wiem jak od strony prawnej , ale biblioteki JSON nie są jakieś tajne można je podglądnąć na stronie serwującej dostęp do usługi git więc zupełnie nie rozumiem po co potrzeba ściągania ich za każdym razem z obcej dla klienta firmy.
PS. NIe ma potrzeby odpowiedzi w języku technicznym, mam z tym do czynienia zawodowo przez lata.
PS2 JA do Akamai nic nie mam moge się przyzwyczaić tylko niech całość swojego contentu do budowy stron będzie ściągana od firmy która tę technologię kupiła.
PS3 W odpowiedzi na „….Na pierwszy rzut oka wszystko wygląda jak strona biura.”
W tym przypadku to biuro /jawnie choć „przezroczyście” dla kienta/ przekierowywuje połączenie i za nie odpowiada.
W tym przypadku jest nieco inaczej IMO.
Tym bardziej ,że biblioteka JSON3 rozprowadzana jest na licencji MIT i każdy może ją używać więc zupełnie nie rozumiem tego uzależnienia od maszyn z zewnątrz.
Jeszcze raz dziękuje za odpowiedź i sory za kłopoty w związku z „wywołaniem do tablicy”
Z mojej strony EOT.
@Dorota
Od pewnych rzeczy nie uciekniemy chcąc korzystać z medium internetu.
Tak jak handel stosuje pewne techniki mające skłonic klienta do współpracy tak w internecie są pewne techniki by przeglądarka której klient używa spełniała podobna rolę.Niestety trzeba się tego nauczyć.
Warto sobie uzmysłowić jedną rzecz .
Wchodząc na ulubione strony ściągamy całość wraz z kodem który przeglądarka interpretuje i wykonuje z poziomu naszego komputera czy sobie zdajemy z tego sprawę czy nie.
Ale jeżeli jest to tzw. kod złośliwy zawsze to my będziemy ponosić tego konsekwencje.
Firmy niejednokrotnie nie maja interesu by uświadamiać użytkowników, a oni sami nie są zainteresowani nudą technikaliów.
Więc jest to zgodny tandem puki nie nastąpi jakiś incydent wtedy np. przy usługach bankowych wyciągany jest najczęściej argument ,że klient nie zachował odpowiednich procedur bezpieczeństwa.
W kontekście tego co napisałem jak miał zachować skoro jego uwagi jak moje ładuje sie do wora z napisem „upierdliwy klient bezpodstawnie atakujący swojego idealnego usługodawcę naruszając jego nieskazitelne imię” .
Ze swojej strony nie rozdmuchiwałem sprawy w rozmowie z Kathayem bo po sprawdzeniu z czym mam do czynienia uznałem ,że skoro mam wiedzę o tym co robią same pliki nie są jakimś krytyczną rzeczą i mają ograniczoną możność zrobienia mi psikusa.
Wystarczyła ta wiedza, natomiast sama praktyka łączenia przeglądarki klienta z firmami z którymi usługodawca współpracuje należy oceniać ostrożnie i wiązać się to może z obniżeniem standardów bezpieczeństwa pomimo jak mówią ,że miliardy tak mają 🙂
Pit65 – tak nastraszyles, że Akamai spadla z ogromna luka
http://finance.yahoo.com/q/bc?s=AKAM&t=1y&l=on&z=l&q=c&c=
Jak juz sie okaze , ze alarm był falszywy to moze wroca luka do gory 😉
Ale Jim Cramer wrzeszczy – kupuj 🙂
http://www.thestreet.com/story/11836865/1/mad-money-lightning-round-buy-akamai.html?puc=yahoo&cm_ven=YAHOO
@Immortal
Koincydencja przypadków 🙂
I jak tu nie wierzyć w teorie chaosu gdzie trzepot skrzydeł tegoż nad Wisłą w lutym wywołuje lawine w NY 😉
@GZ
Kramer to idiota IMO.
Co nie znaczy ,że w jego szleństwie nie ma metody.
Przydałby się jakiś Kwinto 🙂
pit65
dlatego napisałem że „wrzeszczy” a nie zaleca 🙂
Odpowiem raz jeszcze.
Na stronie blogi.bossa.pl uruchamiane są dodatki, które pozwalają m.in. lajkować artykuły na FB oraz wysyłać przez FB. Dodatki pochodzą z oficjalnej strony FB. Przy uruchamianiu blogów, ściągają obrazki z różnych serwerów, którymi zarządza firma Akamai. Nie mamy zatem możliwości ingerowania w kod tego dodatku.
Możemy oczywiście wyłączyć dodatek FB ze strony, czytaj utrudnić lajkowanie użytkownikom Facebooka.
Wyszliśmy jednak z założenia, że nie stanowi on zagrożenia dla użytkowników, a raczej im pomaga (tym, którzy używają FB).
Uważam, że pozostawienie dodatku FB (wyraźnie oznaczony charakterystycznym logiem F) jest bardziej fair w stosunku do użytkowników, niż gdybyśmy udawali, że wszystko zostaje u nas w serwisie i po cichu łączyli się z FB.
Dlatego pozostaniemy przy tym rozwiązaniu.
Jednocześnie dodamy informacje na stronie o tych połączeniach.
Osoby, które bardzo nie lubią FB prosimy o kontakt mailowy. Według nas można łączyć się z blogami, zabraniając połączenia z FB.
Jeśli chodzi o akcje uświadamiającą użytkowników internetu to chętnie byśmy się w nią włączyli. Obawiam się jednak, że może nie starczyć nam czasu. Musielibyśmy na każdej stronie, która ma lajki FB, rozpętać dyskusję podobną do powyższej. A i tak większość adminów oskarżyłaby nas o czarny PR. Sam bym to zrobił, gdybym nie wiedział, że wątpliwości zgłosili zaufani użytkownicy blogów.
PS Porównywanie obecnej sytuacji do instalowania kamerki w przebieralni bez wiedzy przebierających oraz stwierdzenie, że traktujemy pita jako „upierdliwego klienta bezpodstawnie atakującego swojego idealnego usługodawcę naruszając jego nieskazitelne imię” zrzucam na zapał polemiczny. Nie można ich bowiem w żaden sposób odnosić do powyższej sytuacji.
@ mwojciechowski
OK, dziękuję za wyjaśnienie.
Myślę jednak, że tematu łączenia ze stronami trzecimi generalnie (niekoniecznie tutaj) nie unikniemy. Nawet tacy ignoranci jak ja zaczynają być lekko niepewni, czemu to wszystko ma służyć. I tłumaczenie, że to tylko dla wygody (lub spersonalizowania reklam lub innego banalnie merkantylnego celu) zaczynają nam nie wystarczać. Ale to pieśń przyszłości. Na razie świadomość dopiero się budzi (jak widać 😉 ).