release: v1.0.1 — капча, блокировка Яндекс, правки Git в админке

Co-authored-by: Cursor <cursoragent@cursor.com>

.env.example

@@ -13,6 +13,14 @@ ADMIN_NAME=Администратор
 # URL сайта (ссылки в письмах, WebAuthn origin)
 SITE_URL=http://localhost:3000
 
+# Капча: google (reCAPTCHA) или cloudflare (Turnstile). yandex — заблокирован
+CAPTCHA_PROVIDER=google
+# CAPTCHA_ENABLED=0
+RECAPTCHA_SITE_KEY=
+RECAPTCHA_SECRET_KEY=
+# TURNSTILE_SITE_KEY=
+# TURNSTILE_SECRET_KEY=
+
 # Passkey (WebAuthn) — по умолчанию hostname из SITE_URL
 # WEBAUTHN_RP_ID=shop.example.com
 # WEBAUTHN_RP_NAME=Shop
@@ -27,9 +35,10 @@ SMTP_PASS=
 SMTP_FROM=shop@example.com
 
 # Обновление из админки (/admin/system)
-# SHOP_ROOT=/opt/shop
+# SHOP_ROOT=/opt/shop/shop10
 # ADMIN_UPDATE_ENABLED=1
 # ADMIN_UPDATE_USE_SUDO=1
+# SHOP_GIT_USER=root
 
 # PostgreSQL 17 (одна строка или отдельные переменные)
 DATABASE_URL=postgresql://shop:shop@127.0.0.1:5432/shop

.release-notes/v1.0.1.md

@@ -0,0 +1,28 @@
+## 1.0.1
+
+Патч после **v1.0.0**.
+
+### Новое
+
+- Капча **Google reCAPTCHA** или **Cloudflare Turnstile** (вход, регистрация, сброс пароля)
+- **Яндекс SmartCaptcha** заблокирован — японский сервис недоступен по решению администратора
+
+### Исправления
+
+- Обновление из админки: `safe.directory`, `git ls-remote`, pull от владельца `.git`
+
+### Настройка (.env)
+
+```env
+CAPTCHA_PROVIDER=google
+RECAPTCHA_SITE_KEY=...
+RECAPTCHA_SECRET_KEY=...
+# или cloudflare: TURNSTILE_SITE_KEY / TURNSTILE_SECRET_KEY
+```
+
+### Обновление
+
+```bash
+export SHOP_ROOT=/opt/shop/shop10
+git pull && bash "$SHOP_ROOT/scripts/server-update.sh"
+```

CHANGELOG.md

@@ -1,5 +1,21 @@
 # Changelog
 
+## [1.0.1] — 2026-05-17
+
+Патч после **v1.0.0**: капча, доработка обновления из админки.
+
+### Безопасность
+
+- **Капча:** Google reCAPTCHA или Cloudflare Turnstile на входе, регистрации и сбросе пароля
+- **Яндекс SmartCaptcha заблокирован** — сообщение администратора на формах; попытки отправки отклоняются
+
+### Админка и сервер
+
+- **Обновление с Git** (`/admin/system`): исправлены `safe.directory`, проверка через `git ls-remote` без прав на `.git`, pull от владельца репозитория
+- Подсказки по `SHOP_GIT_USER`, sudoers в интерфейсе
+
+[1.0.1]: https://git.evilfox.cc/test/shop10/releases/tag/v1.0.1
+
 ## [1.0.0] — 2026-05-17
 
 Первый мажорный релиз после **v0.20.0**: безопасность, лояльность, акции на товары, удобная установка и обновление с сервера.

README.md

@@ -1,10 +1,10 @@
 # Shop
 
-**v1.0.0** — интернет-магазин на **Node.js** и **PostgreSQL 17**.
+**v1.0.1** — интернет-магазин на **Node.js** и **PostgreSQL 17**.
 
 Два способа установки: [Docker Compose](#docker-compose-рекомендуется-для-теста) | [без Docker (Ubuntu)](#postgresql-17-без-docker)
 
-Подробности релиза: [CHANGELOG.md](CHANGELOG.md) · [docs/RELEASE-1.0.md](docs/RELEASE-1.0.md) · [что нового после 0.20](docs/RELEASE-1.0.md#что-нового-после-020)
+Подробности релиза: [CHANGELOG.md](CHANGELOG.md) · [docs/RELEASE-1.0.1.md](docs/RELEASE-1.0.1.md) · [1.0.0](docs/RELEASE-1.0.md)
 
 **Сервер (установка, обновление, ошибки):** [wiki/Server-Operations.md](wiki/Server-Operations.md) · [wiki/Troubleshooting.md](wiki/Troubleshooting.md)
 
@@ -361,12 +361,12 @@ scripts/
 src/
 ```
 
-## Релиз 1.0.0
+## Релиз 1.0.1
 
 ```bash
 git clone <URL-вашего-репозитория> /opt/shop
 cd /opt/shop
-git checkout v1.0.0
+git checkout v1.0.1
 ```
 
 | Способ | Команда |

docs/RELEASE-1.0.1.md

@@ -0,0 +1,24 @@
+# Релиз 1.0.1
+
+Патч после [1.0.0](RELEASE-1.0.md): капча (Google / Cloudflare), блокировка Яндекс SmartCaptcha, исправления Git-обновления в админке.
+
+## Что нового
+
+| Изменение | Описание |
+|-----------|----------|
+| Капча | Google reCAPTCHA или Cloudflare Turnstile |
+| Яндекс | SmartCaptcha заблокирован, предупреждение на формах |
+| `/admin/system` | `safe.directory`, `ls-remote`, pull от владельца репозитория |
+
+## Обновление с 1.0.0
+
+```bash
+export SHOP_ROOT=/opt/shop/shop10
+cd "$SHOP_ROOT"
+git fetch origin && git checkout v1.0.1
+bash "$SHOP_ROOT/scripts/server-update.sh"
+```
+
+Добавьте в `.env` ключи капчи (см. `.env.example`) и перезапустите `shop`.
+
+Полный список: [CHANGELOG.md](../CHANGELOG.md)

package.json

@@ -1,6 +1,6 @@
 {
   "name": "shop",
-  "version": "1.0.0",
+  "version": "1.0.1",
   "description": "Интернет-магазин на Node.js с PostgreSQL 17",
   "main": "src/server.js",
   "scripts": {

scripts/admin-web-update.sh

@@ -1,30 +1,41 @@
 #!/bin/bash
 # Обновление кода из админки (git pull + npm + перезапуск shop)
 # Запуск: bash scripts/admin-web-update.sh
-# С www-data часто нужен sudoers: NOPASSWD на этот скрипт (ADMIN_UPDATE_USE_SUDO=1)
+# С www-data: ADMIN_UPDATE_USE_SUDO=1 + sudoers NOPASSWD на этот скрипт
 set -euo pipefail
 
 SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
 # shellcheck source=shop-root.sh
 source "$SCRIPT_DIR/shop-root.sh"
 
-RUN_USER="${SHOP_RUN_USER:-www-data}"
 PORT="${PORT:-3000}"
+REPO_OWNER="${SHOP_GIT_USER:-$(stat -c '%U' "$SHOP_ROOT/.git" 2>/dev/null || stat -c '%U' "$SHOP_ROOT" 2>/dev/null || echo root)}"
 
-run_in_shop() {
+ensure_git_safe() {
+  local user="$1"
+  if [ -z "$user" ]; then return; fi
+  if [ "$(id -u)" -eq 0 ]; then
+    sudo -u "$user" git config --global --add safe.directory "$SHOP_ROOT" 2>/dev/null || true
+  else
+    git config --global --add safe.directory "$SHOP_ROOT" 2>/dev/null || true
+  fi
+}
+
+run_as_owner() {
   local cmd="$1"
-  if [ "$(id -u)" -eq 0 ] && [ "$(whoami)" != "$RUN_USER" ]; then
+  if [ "$(id -u)" -eq 0 ] && [ "$(whoami)" != "$REPO_OWNER" ]; then
-    sudo -u "$RUN_USER" env SHOP_ROOT="$SHOP_ROOT" bash -c "cd \"$SHOP_ROOT\" && $cmd"
+    sudo -u "$REPO_OWNER" env SHOP_ROOT="$SHOP_ROOT" bash -c "cd \"$SHOP_ROOT\" && $cmd"
   else
     bash -c "cd \"$SHOP_ROOT\" && $cmd"
   fi
 }
 
-git config --global --add safe.directory "$SHOP_ROOT" 2>/dev/null || true
+ensure_git_safe "$REPO_OWNER"
+ensure_git_safe "$(whoami)"
 
 echo "=== Обновление Shop (админка) ==="
 echo "Каталог: $SHOP_ROOT"
-echo "Пользователь для git/npm: $(id -un 2>/dev/null || echo ?)"
+echo "Git от пользователя: $REPO_OWNER (текущий: $(whoami))"
 
 if [ ! -d .git ]; then
   echo "Ошибка: нет .git в $SHOP_ROOT"
@@ -33,19 +44,19 @@ fi
 
 echo ""
 echo "Текущая версия:"
-git log -1 --oneline || true
+run_as_owner "git log -1 --oneline"
 
 echo ""
 echo "--- git sync ---"
-run_in_shop "bash scripts/git-sync.sh"
+run_as_owner "bash scripts/git-sync.sh"
 
 echo ""
 echo "--- npm install ---"
-run_in_shop "npm install --omit=dev"
+run_as_owner "npm install --omit=dev"
 
 echo ""
 echo "Новая версия:"
-git log -1 --oneline
+run_as_owner "git log -1 --oneline"
 
 echo ""
 echo "--- перезапуск shop ---"
@@ -62,7 +73,7 @@ if command -v systemctl >/dev/null 2>&1 && systemctl cat shop.service >/dev/null
     exit 1
   fi
 else
-  echo "INFO: служба shop не найдена — перезапустите Node вручную (pm2/npm start)"
+  echo "INFO: служба shop не найдена — перезапустите Node вручную"
 fi
 
 echo ""

scripts/shop-root.sh

@@ -32,3 +32,7 @@ fi
 
 export SHOP_ROOT
 cd "$SHOP_ROOT"
+
+if [ -d "$SHOP_ROOT/.git" ]; then
+  git config --global --add safe.directory "$SHOP_ROOT" 2>/dev/null || true
+fi

src/middleware/captcha.js

@@ -0,0 +1,25 @@
+const {
+  getCaptchaConfig,
+  YANDEX_BLOCKED_MSG,
+  isYandexCaptchaAttempt,
+} = require('../services/captcha');
+
+function loadCaptchaLocals(req, res, next) {
+  res.locals.captcha = getCaptchaConfig();
+  res.locals.yandexCaptchaBlockedMsg = YANDEX_BLOCKED_MSG;
+  next();
+}
+
+/** Блокировка попыток отправить Яндекс-капчу */
+function rejectYandexCaptcha(req, res, next) {
+  if (req.method === 'POST' && isYandexCaptchaAttempt(req)) {
+    return res.status(403).render('error', {
+      title: 'Доступ запрещён',
+      message: YANDEX_BLOCKED_MSG,
+      code: 403,
+    });
+  }
+  next();
+}
+
+module.exports = { loadCaptchaLocals, rejectYandexCaptcha };

src/public/css/style.css

@@ -1307,3 +1307,32 @@ body:has(.cookie-banner) .main {
   margin-top: 1.25rem;
   font-size: 0.9rem;
 }
+
+.captcha-block {
+  margin: 1rem 0;
+  padding: 0.75rem;
+  border: 1px solid var(--border);
+  border-radius: 8px;
+  background: var(--surface-2);
+}
+
+.captcha-block__yandex-notice {
+  display: flex;
+  align-items: flex-start;
+  gap: 0.4rem;
+  margin: 0 0 0.75rem;
+  font-size: 0.8rem;
+  color: var(--warn);
+  line-height: 1.4;
+}
+
+.captcha-widget {
+  min-height: 78px;
+  display: flex;
+  align-items: center;
+}
+
+.captcha-block__provider {
+  margin: 0.5rem 0 0;
+  font-size: 0.75rem;
+}

src/routes/auth.js

@@ -6,6 +6,7 @@ const { requireAuth } = require('../middleware/auth');
 const { requireCookieConsent } = require('../middleware/cookieConsent');
 const { ROLES } = require('../constants/roles');
 const { asyncHandler } = require('../utils/asyncHandler');
+const { verifyCaptcha } = require('../services/captcha');
 
 const router = express.Router();
 
@@ -28,6 +29,15 @@ router.post(
     const { name, email, password, password2 } = req.body;
     const values = { name, email };
 
+    const captchaCheck = await verifyCaptcha(req);
+    if (!captchaCheck.ok) {
+      return res.status(400).render('register', {
+        title: 'Регистрация',
+        error: captchaCheck.error,
+        values,
+      });
+    }
+
     if (!name?.trim() || !email?.trim() || !password) {
       return res.status(400).render('register', {
         title: 'Регистрация',
@@ -90,6 +100,16 @@ router.post(
     const next = req.body.next || '/';
     const values = { email };
 
+    const captchaCheck = await verifyCaptcha(req);
+    if (!captchaCheck.ok) {
+      return res.status(400).render('login', {
+        title: 'Вход',
+        error: captchaCheck.error,
+        next,
+        values,
+      });
+    }
+
     const { rows } = await query('SELECT * FROM users WHERE email = $1', [
       (email || '').trim().toLowerCase(),
     ]);

src/routes/password-reset.js

@@ -6,6 +6,7 @@ const { getCart, cartCount } = require('../cart');
 const { formatPrice } = require('../db');
 const { requireCookieConsent } = require('../middleware/cookieConsent');
 const { asyncHandler } = require('../utils/asyncHandler');
+const { verifyCaptcha } = require('../services/captcha');
 const { sendPasswordResetEmail, siteUrl } = require('../services/mail');
 
 const router = express.Router();
@@ -39,6 +40,16 @@ router.post(
     const genericSuccess =
       'Если аккаунт с таким email существует, мы отправили ссылку для сброса пароля.';
 
+    const captchaCheck = await verifyCaptcha(req);
+    if (!captchaCheck.ok) {
+      return res.status(400).render('auth/forgot-password', {
+        title: 'Сброс пароля',
+        error: captchaCheck.error,
+        success: null,
+        values,
+      });
+    }
+
     if (!email) {
       return res.status(400).render('auth/forgot-password', {
         title: 'Сброс пароля',

src/server.js

@@ -10,6 +10,7 @@ const { seedAdmin } = require('./seed-admin');
 const { seedPromoCodes } = require('./seed-promo');
 const { loadUser } = require('./middleware/auth');
 const { loadCookieConsent } = require('./middleware/cookieConsent');
+const { loadCaptchaLocals, rejectYandexCaptcha } = require('./middleware/captcha');
 const healthRoutes = require('./routes/health');
 const shopRoutes = require('./routes/shop');
 const authRoutes = require('./routes/auth');
@@ -68,6 +69,8 @@ async function start() {
   );
 
   app.use(loadCookieConsent);
+  app.use(loadCaptchaLocals);
+  app.use(rejectYandexCaptcha);
   app.use(loadUser);
   app.use('/cookies', cookiesRoutes);
   app.use('/', passwordResetRoutes);

src/services/captcha.js

@@ -0,0 +1,129 @@
+const YANDEX_BLOCKED_MSG =
+  'Яндекс SmartCaptcha (японский сервис) заблокирован администратором сайта. Используйте проверку Google или Cloudflare.';
+
+function clientIp(req) {
+  return (
+    req.headers['x-forwarded-for']?.split(',')[0]?.trim() ||
+    req.socket?.remoteAddress ||
+    ''
+  );
+}
+
+function isYandexCaptchaAttempt(req) {
+  const b = req.body || {};
+  return Boolean(
+    b['smart-token'] ||
+      b.smartcaptcha ||
+      b.yandex_captcha ||
+      b['yandex-token'] ||
+      (typeof b.captcha_provider === 'string' && b.captcha_provider.toLowerCase() === 'yandex')
+  );
+}
+
+function getCaptchaConfig() {
+  const raw = (process.env.CAPTCHA_PROVIDER || 'google').toLowerCase().trim();
+
+  if (raw === 'yandex' || raw === 'yandex-smartcaptcha') {
+    return {
+      enabled: true,
+      provider: 'yandex',
+      blocked: true,
+      siteKey: null,
+    };
+  }
+
+  if (process.env.CAPTCHA_ENABLED === '0') {
+    return { enabled: false, provider: null, blocked: false, siteKey: null };
+  }
+
+  if (raw === 'cloudflare' || raw === 'turnstile') {
+    const siteKey = process.env.TURNSTILE_SITE_KEY || '';
+    const secret = process.env.TURNSTILE_SECRET_KEY || '';
+    if (!siteKey || !secret) {
+      return { enabled: false, provider: 'cloudflare', blocked: false, siteKey: null };
+    }
+    return { enabled: true, provider: 'cloudflare', blocked: false, siteKey };
+  }
+
+  const siteKey = process.env.RECAPTCHA_SITE_KEY || '';
+  const secret = process.env.RECAPTCHA_SECRET_KEY || '';
+  if (!siteKey || !secret) {
+    return { enabled: false, provider: 'google', blocked: false, siteKey: null };
+  }
+  return { enabled: true, provider: 'google', blocked: false, siteKey };
+}
+
+async function verifyGoogle(token, secret, ip) {
+  const params = new URLSearchParams({ secret, response: token });
+  if (ip) params.set('remoteip', ip);
+  const res = await fetch('https://www.google.com/recaptcha/api/siteverify', {
+    method: 'POST',
+    headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
+    body: params.toString(),
+  });
+  const data = await res.json();
+  return Boolean(data.success);
+}
+
+async function verifyTurnstile(token, secret, ip) {
+  const params = new URLSearchParams({ secret, response: token });
+  if (ip) params.set('remoteip', ip);
+  const res = await fetch('https://challenges.cloudflare.com/turnstile/v0/siteverify', {
+    method: 'POST',
+    headers: { 'Content-Type': 'application/x-www-form-urlencoded' },
+    body: params.toString(),
+  });
+  const data = await res.json();
+  return Boolean(data.success);
+}
+
+async function verifyCaptcha(req) {
+  if (isYandexCaptchaAttempt(req)) {
+    return { ok: false, error: YANDEX_BLOCKED_MSG };
+  }
+
+  const config = getCaptchaConfig();
+
+  if (config.blocked) {
+    return { ok: false, error: YANDEX_BLOCKED_MSG };
+  }
+
+  if (!config.enabled) {
+    return { ok: true };
+  }
+
+  const ip = clientIp(req);
+  const secret =
+    config.provider === 'cloudflare'
+      ? process.env.TURNSTILE_SECRET_KEY
+      : process.env.RECAPTCHA_SECRET_KEY;
+
+  const token =
+    config.provider === 'cloudflare'
+      ? req.body?.['cf-turnstile-response']
+      : req.body?.['g-recaptcha-response'];
+
+  if (!token) {
+    return { ok: false, error: 'Подтвердите, что вы не робот (капча)' };
+  }
+
+  let valid = false;
+  if (config.provider === 'cloudflare') {
+    valid = await verifyTurnstile(token, secret, ip);
+  } else {
+    valid = await verifyGoogle(token, secret, ip);
+  }
+
+  if (!valid) {
+    return { ok: false, error: 'Проверка капчи не пройдена. Попробуйте снова.' };
+  }
+
+  return { ok: true };
+}
+
+module.exports = {
+  YANDEX_BLOCKED_MSG,
+  getCaptchaConfig,
+  verifyCaptcha,
+  isYandexCaptchaAttempt,
+};

src/services/git-deploy.js

@@ -30,19 +30,110 @@ function isUpdateEnabled() {
   return fs.existsSync(path.join(root, 'scripts', 'admin-web-update.sh'));
 }
 
-async function gitCmd(args, cwd) {
+function gitEnv(root) {
-  const { stdout, stderr } = await execFileAsync('git', args, {
+  const resolved = path.resolve(root);
-    cwd,
+  return {
-    maxBuffer: 1024 * 1024,
+    ...process.env,
-    timeout: 90000,
+    GIT_TERMINAL_PROMPT: '0',
-    env: { ...process.env, GIT_TERMINAL_PROMPT: '0' },
+    GIT_CONFIG_COUNT: '1',
+    GIT_CONFIG_KEY_0: 'safe.directory',
+    GIT_CONFIG_VALUE_0: resolved,
+  };
+}
+
+async function getRepoOwner(root) {
+  if (process.env.SHOP_GIT_USER) {
+    return process.env.SHOP_GIT_USER.trim();
+  }
+  if (process.platform === 'win32') return null;
+  const gitPath = path.join(root, '.git');
+  try {
+    const target = fs.statSync(gitPath).isDirectory() ? gitPath : root;
+    const { stdout } = await execFileAsync('stat', ['-c', '%U', target], { timeout: 5000 });
+    const user = stdout.trim();
+    return user || null;
+  } catch {
+    return null;
+  }
+}
+
+async function ensureSafeDirectory(root, user) {
+  const resolved = path.resolve(root);
+  const targets = [{ home: process.env.HOME || '/var/www' }];
+  if (user) {
+    try {
+      const { stdout } = await execFileAsync('getent', ['passwd', user], { timeout: 5000 });
+      const home = stdout.split(':')[5];
+      if (home) targets.push({ home });
+    } catch {
+      /* ignore */
+    }
+  }
+  for (const { home } of targets) {
+    try {
+      await execFileAsync('git', ['config', '--global', '--add', 'safe.directory', resolved], {
+        timeout: 15000,
+        env: { ...process.env, HOME: home },
       });
+    } catch {
+      /* ignore */
+    }
+  }
+}
+
+async function execGit(args, cwd, runAs) {
+  const root = path.resolve(cwd);
+  const gitArgs = ['-c', `safe.directory=${root}`, ...args];
+  const opts = {
+    cwd: root,
+    maxBuffer: 1024 * 1024,
+    timeout: 120000,
+    env: gitEnv(root),
+  };
+
+  if (runAs && process.env.ADMIN_UPDATE_USE_SUDO === '1') {
+    const { stdout, stderr } = await execFileAsync('sudo', ['-n', '-u', runAs, 'git', ...gitArgs], opts);
     return `${stdout}${stderr}`.trim();
+  }
+
+  const { stdout, stderr } = await execFileAsync('git', gitArgs, opts);
+  return `${stdout}${stderr}`.trim();
+}
+
+async function gitCmd(args, cwd, { needsWrite = false } = {}) {
+  const root = path.resolve(cwd);
+  const owner = await getRepoOwner(root);
+
+  try {
+    return await execGit(args, root, null);
+  } catch (err) {
+    const msg = err.message || '';
+    const denied = /permission denied|EACCES|FETCH_HEAD/i.test(msg);
+    if ((needsWrite || denied) && owner) {
+      await ensureSafeDirectory(root, owner);
+      return execGit(args, root, owner);
+    }
+    throw err;
+  }
+}
+
+/** Сколько коммитов на origin/main без записи в .git (без fetch) */
+async function getCommitsBehind(root) {
+  const localHead = (await gitCmd(['rev-parse', 'HEAD'], root)).split('\n')[0].trim();
+  const remoteOut = await gitCmd(['ls-remote', 'origin', 'refs/heads/main'], root);
+  const remoteSha = remoteOut.split(/\s+/)[0]?.trim();
+  if (!remoteSha) {
+    throw new Error('Не найден refs/heads/main на origin');
+  }
+  if (remoteSha === localHead) return 0;
+  const count = await gitCmd(['rev-list', '--count', `${localHead}..${remoteSha}`], root);
+  return parseInt(count, 10) || 0;
 }
 
 async function getGitInfo({ fetchRemote = false } = {}) {
   const root = resolveShopRoot();
   const pkg = root ? JSON.parse(fs.readFileSync(path.join(root, 'package.json'), 'utf8')) : null;
+  const repoOwner = root ? await getRepoOwner(root) : null;
 
   if (!root || !fs.existsSync(path.join(root, '.git'))) {
     return {
@@ -56,6 +147,7 @@ async function getGitInfo({ fetchRemote = false } = {}) {
   const info = {
     available: true,
     shopRoot: root,
+    repoOwner,
     packageVersion: pkg?.version || null,
     branch: null,
     commit: null,
@@ -63,12 +155,14 @@ async function getGitInfo({ fetchRemote = false } = {}) {
     commitSubject: null,
     commitDate: null,
     dirty: false,
+    dirtyHint: null,
     behind: null,
     updateEnabled: isUpdateEnabled(),
     platform: process.platform,
   };
 
   try {
+    await ensureSafeDirectory(root, repoOwner);
     info.branch = await gitCmd(['branch', '--show-current'], root);
     if (!info.branch) {
       info.branch = '(detached)';
@@ -78,8 +172,17 @@ async function getGitInfo({ fetchRemote = false } = {}) {
     info.commitShort = info.commitShort || (await gitCmd(['rev-parse', '--short', 'HEAD'], root));
     info.commitSubject = await gitCmd(['log', '-1', '--pretty=%s'], root);
     info.commitDate = await gitCmd(['log', '-1', '--pretty=%ci'], root);
+    try {
       const status = await gitCmd(['status', '--porcelain'], root);
       info.dirty = status.length > 0;
+      if (info.dirty) {
+        info.dirtyHint =
+          'На сервере есть локальные изменения. Обновление может их перезаписать; при ошибке выполните git stash или git reset --hard с машины администратора.';
+      }
+    } catch {
+      info.dirty = null;
+      info.dirtyHint = 'Не удалось прочитать статус (права на .git).';
+    }
   } catch (err) {
     info.available = false;
     info.reason = err.message;
@@ -88,14 +191,12 @@ async function getGitInfo({ fetchRemote = false } = {}) {
 
   if (fetchRemote) {
     try {
-      await gitCmd(['fetch', 'origin'], root);
+      info.behind = await getCommitsBehind(root);
-      const behind = await gitCmd(
-        ['rev-list', '--count', 'HEAD..origin/main'],
-        root
-      );
-      info.behind = parseInt(behind, 10) || 0;
     } catch (err) {
       info.fetchError = err.message;
+      if (repoOwner) {
+        info.fetchError += ` Владелец репозитория: ${repoOwner}. Задайте SHOP_GIT_USER=${repoOwner} и ADMIN_UPDATE_USE_SUDO=1 в .env.`;
+      }
     }
   }
 
@@ -113,7 +214,7 @@ function runDeployUpdate() {
 
     const child = spawn(cmd, args, {
       cwd: root,
-      env: { ...process.env, SHOP_ROOT: root },
+      env: { ...gitEnv(root), SHOP_ROOT: root },
       timeout: 300000,
     });
 
@@ -148,4 +249,5 @@ module.exports = {
   isUpdateEnabled,
   getGitInfo,
   runDeployUpdate,
+  getRepoOwner,
 };

src/views/admin/system.ejs

@@ -28,6 +28,10 @@
       <dd><strong>v<%= git.packageVersion || '?' %></strong></dd>
       <dt>Каталог</dt>
       <dd><code class="admin-system__path"><%= git.shopRoot %></code></dd>
+      <% if (git.repoOwner) { %>
+        <dt>Владелец .git</dt>
+        <dd><code><%= git.repoOwner %></code> <span class="muted">(git pull выполняется от этого пользователя)</span></dd>
+      <% } %>
       <dt>Ветка</dt>
       <dd><%= git.branch %></dd>
       <dt>Коммит</dt>
@@ -38,7 +42,10 @@
       </dd>
       <% if (git.dirty) { %>
         <dt>Состояние</dt>
-        <dd><span class="badge badge--warn">Есть незакоммиченные изменения</span></dd>
+        <dd>
+          <span class="badge badge--warn">Есть незакоммиченные изменения</span>
+          <% if (git.dirtyHint) { %><p class="muted" style="margin:0.35rem 0 0;font-size:0.85rem"><%= git.dirtyHint %></p><% } %>
+        </dd>
       <% } %>
       <% if (git.behind != null) { %>
         <dt>На origin/main</dt>
@@ -100,10 +107,15 @@
 
 <section class="card admin-system__help muted">
   <h2>Настройка сервера</h2>
-  <p>В <code>.env</code>: <code>SHOP_ROOT=/opt/shop</code>, <code>ADMIN_UPDATE_ENABLED=1</code>.</p>
+  <p>В <code>.env</code>:</p>
-  <p>Если служба работает от <code>www-data</code>, добавьте в sudoers (от root):</p>
+  <pre class="admin-system__pre">SHOP_ROOT=<%= git.shopRoot || '/opt/shop/shop10' %>
-  <pre class="admin-system__pre">www-data ALL=(root) NOPASSWD: <%= git.shopRoot || '/opt/shop' %>/scripts/admin-web-update.sh</pre>
+ADMIN_UPDATE_ENABLED=1
-  <p>И в .env: <code>ADMIN_UPDATE_USE_SUDO=1</code></p>
+ADMIN_UPDATE_USE_SUDO=1
+SHOP_GIT_USER=<%= git.repoOwner || 'root' %></pre>
+  <p>Sudoers для <code>www-data</code> (от root):</p>
+  <pre class="admin-system__pre">www-data ALL=(root) NOPASSWD: <%= git.shopRoot || '/opt/shop/shop10' %>/scripts/admin-web-update.sh
+www-data ALL=(<%= git.repoOwner || 'root' %>) NOPASSWD: /usr/bin/git</pre>
+  <p class="muted">«Проверить на Git» — через <code>ls-remote</code> (без записи в .git). Pull — от владельца каталога.</p>
 </section>
 
 <%- include('../partials/layout-end') %>

src/views/auth/forgot-password.ejs

@@ -10,6 +10,7 @@
       Email
       <input type="email" name="email" class="input" required value="<%= values.email || '' %>" autocomplete="email">
     </label>
+    <%- include('../partials/captcha-widget') %>
     <button type="submit" class="btn btn--primary btn--block">Отправить ссылку</button>
     <p class="form-footer"><a href="/login">← Вход</a></p>
   </form>

src/views/login.ejs

@@ -13,6 +13,7 @@
       Пароль
       <input type="password" name="password" class="input" required autocomplete="current-password">
     </label>
+    <%- include('partials/captcha-widget') %>
     <button type="submit" class="btn btn--primary btn--block">Войти по паролю</button>
     <p class="form-footer">
       <a href="/forgot-password">Забыли пароль?</a><br>

src/views/partials/captcha-widget.ejs

@@ -0,0 +1,23 @@
+<aside class="captcha-block" aria-label="Защита от ботов">
+  <p class="captcha-block__yandex-notice">
+    <%- include('icon', { name: 'shield', iconSize: 14 }) %>
+    <%= yandexCaptchaBlockedMsg %>
+  </p>
+
+  <% if (captcha && captcha.blocked) { %>
+    <p class="alert alert--error">Капча недоступна: выбран заблокированный провайдер. В .env укажите <code>CAPTCHA_PROVIDER=google</code> или <code>cloudflare</code>.</p>
+  <% } else if (captcha && captcha.enabled) { %>
+    <div class="captcha-widget">
+      <% if (captcha.provider === 'cloudflare') { %>
+        <script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>
+        <div class="cf-turnstile" data-sitekey="<%= captcha.siteKey %>" data-theme="dark"></div>
+      <% } else { %>
+        <script src="https://www.google.com/recaptcha/api.js" async defer></script>
+        <div class="g-recaptcha" data-sitekey="<%= captcha.siteKey %>" data-theme="dark"></div>
+      <% } %>
+    </div>
+    <p class="muted captcha-block__provider">
+      <% if (captcha.provider === 'cloudflare') { %>Проверка: Cloudflare Turnstile<% } else { %>Проверка: Google reCAPTCHA<% } %>
+    </p>
+  <% } %>
+</aside>

src/views/register.ejs

@@ -20,6 +20,7 @@
       Повторите пароль
       <input type="password" name="password2" class="input" required>
     </label>
+    <%- include('partials/captcha-widget') %>
     <button type="submit" class="btn btn--primary btn--block">Создать аккаунт</button>
     <p class="form-footer">Уже есть аккаунт? <a href="/login">Войти</a></p>
   </form>

wiki/Home.md

@@ -1,6 +1,6 @@
 # Shop — документация
 
-Интернет-магазин на **Node.js** и **PostgreSQL 17**. Текущий релиз: **v1.0.0** (см. [CHANGELOG](../CHANGELOG.md), [RELEASE-1.0](../docs/RELEASE-1.0.md)).
+Интернет-магазин на **Node.js** и **PostgreSQL 17**. Текущий релиз: **v1.0.1** (см. [CHANGELOG](../CHANGELOG.md), [RELEASE-1.0.1](../docs/RELEASE-1.0.1.md)).
 
 ## Способы установки