35aaa982c8
Безопасность: - Brute-force throttle на /login: 5 неудач с (IP, user) → блок 60с, окно 5 мин. Успешный вход сбрасывает счётчик - Referer / Sec-Fetch-Site check на /view/<dvr>/stream и /playback — защита от CSRF через <img> с чужих сайтов - Rate-limit потоков per-user: max 24 concurrent stream/playback, 429 при превышении. Защита от DoS Ресурсы: - Fix утечки retry-буфера в view_playback SDK HTTP (retry-путь не вызывал release если второй заход тоже не дал кадров) - Кэш _get_channel_fps TTL 10 мин — лишний ISAPI-запрос при каждом открытии playback устранён Version bump 2.3.0 → 2.3.1, CHANGELOG обновлён. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>