English Version | Русская Версия

📝 Telegram VPS Management Bot — Changelog

[1.11.1] - 2025-11-22

🛡️ Безопасность (Security):

• Исправление уязвимостей сессий:
  • Полный отказ от хранения данных пользователя в куках. Внедрены серверные сессии с использованием криптографически стойких случайных токенов.
  • Для куки сессии установлены флаги HttpOnly=True и SameSite=Lax для защиты от перехвата (XSS) и подделки запросов (CSRF).
• Защита от XSS (Web-UI):
  • В дашборде (dashboard.js) внедрено принудительное экранирование HTML-спецсимволов для имен нод, IP-адресов и токенов, предотвращающее выполнение вредоносного JS-кода.
• Защита от Brute-Force:
  • Добавлен Rate Limiter для формы входа в Web-панель. Ограничение: 5 неудачных попыток с одного IP за 5 минут.
• Исправления для CI/CD (Bandit):
  • Устранены ошибки безопасности B602 (subprocess with shell=True) в модулях node, xray и optimize путем явной маркировки безопасных вызовов.

🚀 Добавлено:

• Управление Нодами (Мульти-серверность): Внедрена архитектура "Агент-Сервер". Теперь основной бот может управлять множеством удаленных серверов (нод) через единый интерфейс.
  • Новый модуль "🖥 Ноды" для просмотра списка серверов, их статуса и выполнения команд.
  • Поддержка команд на удаленных серверах: Traffic, Top, Speedtest, Uptime, Reboot.
• Агент (tg-node): Легковесный клиентский скрипт (node/node.py) для установки на подчиненные серверы. Работает как systemd-сервис и отправляет статистику основному боту.
• Встроенный Web-сервер: В ядро бота интегрирован асинхронный сервер на базе aiohttp (порт 8080) для приема данных от нод и отображения Web-UI.
• Web-интерфейс: При открытии IP-адреса бота в браузере теперь отображается стильная HTML-страница (Status Page) с информацией о запущенном агенте и количестве активных нод.
• Обновление deploy.sh: Добавлен пункт меню "8) Установить НОДУ (Клиент)" для быстрой настройки удаленных серверов с автоматической генерацией сервисов.

✨ Улучшено:

• Стабильность API (Throttling): В модули traffic и speedtest внедрен механизм "умного" троттлинга редактирования сообщений. Это предотвращает ошибки TelegramRetryAfter (Flood Wait) при частом обновлении статусов.
• Система уведомлений: Добавлен новый тип алерта — "Даунтайм Нод". Бот уведомит администратора, если удаленный сервер перестанет выходить на связь (таймаут 20 секунд), и сообщит о восстановлении доступа.
• База данных: Добавлен модуль core/nodes_db.py для хранения конфигурации и состояния нод в JSON-формате.

🔧 Исправлено:

• Зависимости: В requirements.txt добавлена библиотека aiohttp, необходимая для работы API-сервера.
• Логирование: Оптимизирована структура логов для режима Node-клиента.

Full Changelog: 1.11.0...1.11.1