HELPER Discord Bot
← Назад к ленте изменений
16.05.2026 Безопасность Внедрено

Усилена безопасность owner-панели и web-сервера

Добавлены secure-cookie, CSRF для owner POST-форм, rate limit и localhost bind.

Перед продажами усилена базовая безопасность: web-панель слушает только 127.0.0.1 за nginx, owner POST-запросы защищены CSRF, nginx ограничивает частые запросы на auth/owner маршруты, приватные runtime-файлы исключены из Git.

Что усилено

Проверены и усилены самые важные зоны: сессии, owner-действия, nginx и приватные данные.

  • Session cookie усилена безопасными настройками.
  • Owner POST-формы читаются через CSRF-проверку.
  • Nginx получил rate limit для login/owner/api owner.
  • Uvicorn слушает 127.0.0.1:8000, а наружу открыт только nginx 80/443.
  • .env, базы, data и backup-файлы не отслеживаются Git.

Что это даёт

Эти правки уменьшают риск случайного доступа к приватным функциям и утечки runtime-данных.

  • Меньше поверхность атаки.
  • Owner-действия сложнее подделать через форму.
  • Приватные файлы не попадают в репозиторий.
  • Веб-сервер не торчит наружу напрямую.

Файлы

web/web_server.pyCSRF owner forms, secure session cookie, localhost bind
/etc/nginx/conf.d/01-helper-rate-limits.confnginx rate limit зоны
.gitignoreисключение приватных runtime-файлов

Проверки

  • python -m py_compile web/web_server.py — успешно
  • nginx -t — успешно
  • /api/status возвращает online
  • git ls-files не показывает приватные файлы
  • ss показывает 127.0.0.1:8000 для Python