noteの第一印象について

　もともとは、海外ではやっているMediumというサービスに似たサービスだと思う。で、基本的に、海外のサービスを、自分たちの手で直そうというのはわかるし、それを有料記事を配信しているCakesがやるのも、わかるし、これはこれで成長してほしいなあと思ったりする。

　ただ、気になるところとしては、最初の段階でクレジットカードを登録させたり、あるいは記事やコンテンツを売買できるという形にするのはちょっと不味いんじゃないかと思う。

　HTMLに表示する段階において、XSSという、任意のJavaScriptコードを動かせるような作りになっていたことである。これが危険なのは、ユーザーが危険なJavaScriptを意図的に動かせることを意味している。例えば任意のセッションをほかのサイトに飛ばし、踏み台攻撃に使うことが可能だ。そこからそのセッション（つまりあなたに変わってログインすることができるようになる）を奪いとれるかもしれない。まだ、その痕跡はちらほらあるようだ。

　また、表示用のものと、APIのものは違うものになっている。例えば、貴方からみれば、自分のURLは「__esehara__」である。しかし、内部では連番として登録されている。だから、セッションを保持したまま、「https://note.mu/api/v1/followings/:id」で、「:id」を「1~4500」の範囲で入力し、POSTすると、連続的にフォローできる。とはいえ、このAPIで連番でフォローするのは意図した挙動ではなかったらしく、既に二回のアカウント停止を持ってして、警告を食らった（ちなみに、アカウント停止後は、アカウントを登録した元のメールで再取得できた)。

　ちなみに、余計なこととして、もう一つ付け加えると、もともと僕はCakesの無料会員に登録していたのだけど、noteでアカウント停止処分を食らったとき、なぜかそのままCakesの会員も巻き添えで使えなくなってしまった。もともとCakesのサービスなんだから、まあそうなんだけど（これは利用規約にPOCアカウントとして共通化されているらしいみたいなことが書いてある）、これって有料会員だったりしたらどうなるんだろう、とも思う。

　もちろん、僕もリーンスタートアップ、つまりまず作ってみて、その需要を確認するということ、まずバギー(バグだらけの状態）でもいいから、何らかのサイトを立ち上げてみるというアプローチは全然問題はないとは思う。そこは素直に尊敬する。

　しかし、今回については、そのようなバギーな状態で、クレジットカードなどを入力させてしまうという一点において、ちょっと不味いんじゃないのかなという気がする。もちろん、最初に有料やコンテンツを売買できなければインパクトがないというのもあるとは思うんだけれど、1ヵ月か2か月くらいランニングして様子を見るというのも良かったんじゃないんだろうか、とか思ったりしていた。