From 71f9d4dd11e5cda8cc34b77c98cec42e316a7d7f Mon Sep 17 00:00:00 2001
From: min <min@rublox.pro>
Date: Sun, 7 Jun 2026 18:41:27 +0300
Subject: [PATCH] =?UTF-8?q?fix(player):=20=D0=B7=D0=B0=D0=BA=D0=BE=D0=BC?=
 =?UTF-8?q?=D0=BC=D0=B8=D1=82=D0=B8=D1=82=D1=8C=20.env.production=20?=
 =?UTF-8?q?=E2=80=94=20CI=20=D1=81=D0=BE=D0=B1=D0=B8=D1=80=D0=B0=D0=BB=20?=
 =?UTF-8?q?=D0=BF=D0=BB=D0=B5=D0=B5=D1=80=20=D0=B1=D0=B5=D0=B7=20VITE=5FAP?=
 =?UTF-8?q?I=5FBASE?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Корень инцидента 2026-06-07: .env.production был в .gitignore → CI-сборка
без VITE_API_BASE → API base падал на window.location.origin (rublox.pro)
вместо minecraftia-school.ru. redeem-ticket уходил на rublox.pro/api-user
(нет такого) → плеер не получал JWT → выбивал на /app через секунду.
Файл содержит только публичные URL, секретов нет.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
---
 .env.production |  5 +++++
 .gitignore      | 41 ++++++++++++++++++++++++++++++++++++++++-
 2 files changed, 45 insertions(+), 1 deletion(-)
 create mode 100644 .env.production

diff --git a/.env.production b/.env.production
new file mode 100644
index 0000000..59a4c78
--- /dev/null
+++ b/.env.production
@@ -0,0 +1,5 @@
+VITE_API_BASE=https://minecraftia-school.ru
+VITE_REALTIME_HTTP=https://minecraftia-school.ru/api-game
+VITE_REALTIME_WS=wss://minecraftia-school.ru/api-game
+VITE_RUBLOX_HOME=https://rublox.pro/app
+VITE_STANDALONE=false
diff --git a/.gitignore b/.gitignore
index 9429fa6..4aae968 100644
--- a/.gitignore
+++ b/.gitignore
@@ -41,4 +41,43 @@ public/kubikon-assets/
 
 # OS
 Thumbs.db
-.env.production
+
+# ============================================================
+# SECURITY — добавлено после взлома 2026-06-04
+# НИКОГДА не коммитить эти файлы — они могут содержать секреты!
+# ============================================================
+CLAUDE.md
+INFO_PROCESS.md
+PASSWORD_*.md
+SECRETS*
+*_SECRETS*
+*.kdbx
+*.kdbx.bak
+.env
+.env.*
+!.env.example
+!.env.sample
+# .env.production содержит ТОЛЬКО публичные URL (api-base, realtime, rublox.pro)
+# — без секретов. Нужен в git, чтобы CI собирал прод-бандл с правильным
+# VITE_API_BASE (иначе API уходит на origin вместо minecraftia-school.ru,
+# redeem-ticket падает → плеер выбивает на /app). Инцидент 2026-06-07.
+!.env.production
+secrets/
+*.pem
+*.key
+id_rsa
+id_ed25519
+known_hosts
+authorized_keys
+
+# Текстовые заметки разработчика (могут содержать всё что угодно)
+NOTES*.md
+TODO*.md
+PRIVATE*.md
+INTERNAL_*.md
+
+# Бэкапы кода с предыдущих версий
+*.bak
+*.bak_*
+BackUp/
+backup/
-- 
2.47.2