fixes

SECURITY.md

@@ -0,0 +1,64 @@
+# Security Policy
+
+## Поддерживаемые версии
+
+| Версия | Поддержка          |
+| ------ | ------------------ |
+| 0.1.x  | :white_check_mark: |
+
+## Сообщить об уязвимости
+
+Если вы обнаружили уязвимость в безопасности, пожалуйста:
+
+1. **НЕ создавайте публичный issue**
+2. Отправьте email на: [security@example.com]
+3. Опишите:
+   - Тип уязвимости
+   - Шаги для воспроизведения
+   - Потенциальное влияние
+   - Предложения по исправлению (если есть)
+
+## Безопасность credentials
+
+### Важно
+
+- **НИКОГДА** не коммитьте файлы с credentials в git
+- Файлы `credentials` и `.env` уже добавлены в `.gitignore`
+- TDLib сессия в `tdlib_data/` содержит токены авторизации — НЕ делитесь этой папкой
+
+### Рекомендации
+
+1. **Используйте XDG config directory**:
+   - Храните credentials в `~/.config/tele-tui/credentials`
+   - Установите права доступа: `chmod 600 ~/.config/tele-tui/credentials`
+
+2. **Защита сессии**:
+   - Папка `tdlib_data/` содержит вашу авторизованную сессию
+   - Не копируйте её на другие машины
+   - При компрометации — удалите папку и авторизуйтесь заново
+
+3. **Двухфакторная аутентификация**:
+   - Настоятельно рекомендуется включить 2FA в Telegram
+   - Это защитит ваш аккаунт даже при утечке API credentials
+
+## Известные ограничения
+
+### TDLib
+- Приложение использует официальную библиотеку TDLib от Telegram
+- Безопасность зависит от актуальности TDLib (автообновление через tdlib-rs)
+
+### Конфигурация
+- Конфигурационный файл `config.toml` НЕ содержит чувствительных данных
+- Credentials хранятся отдельно в файле `credentials`
+
+## Обновления безопасности
+
+Мы оперативно реагируем на сообщения об уязвимостях и выпускаем патчи в течение:
+- **Критические**: 24-48 часов
+- **Высокие**: 3-7 дней
+- **Средние**: 2-4 недели
+- **Низкие**: включаются в следующий релиз
+
+## Спасибо
+
+Мы ценим ваш вклад в безопасность проекта!