Журнал изменений

2026-04-20

Max-чекер, постинг в каналы, импорт контактов

Новое

→ Max-чекер — проверка наличия номера или User ID в MAX до рассылки. Три режима: Мягкая (безопасная, до 50-70/сут), Массовый чекинг (пачками по 100, внимание — перезаписывает имена в контактах), Чекер User ID (самый безопасный, без изменений).
→ Планировщик постов — публикация в каналы/группы MAX по расписанию. Календарный вид с навигацией по месяцам, клик по дню создаёт пост, фоновый воркер проверяет просроченные посты раз в минуту.
→ Импорт контактов из групп — dual-pane UI: слева все участники с поиском и пагинацией, справа выбранные, одним кликом импорт в базу лидов.
→ Пред-валидация инвайтинга — в инвайтере появился сворачиваемый блок «Отсев невалидных номеров»: вставляете номера, чекер проверяет, их User ID автоматически добавляются в список для инвайта.

Улучшение

→ Чекер на странице /app/checker полностью переделан — от формы-однострочника до полноценного инструмента с результатами в таблице и экспортом CSV.
→ Endpoint /app/posts/account-chats/{id} возвращает только те чаты где аккаунт owner/admin — исключает попытки постить в чужие группы.
→ Пост-воркер обёрнут в централизованный обработчик ошибок (как остальные 10 background-задач).

Исправление

→ Legacy чекер по лидам перенесён в свёрнутую секцию — не мешает при массовой проверке.

2026-04-19

Prodamus, здоровье аккаунтов, наблюдаемость

Новое

→ Prodamus — третий платёжный шлюз рядом с ЮKassa и Robokassa. Агентская схема, чеки НПД через «Мой налог», поддержка рассрочки.
→ Публичная /status — страница uptime с состоянием БД, диска и ключевых компонентов.
→ Healthcheck MAX-аккаунтов — каждый час проверка + автовосстановление (BLOCKED → ACTIVE если снова отвечает).
→ /metrics endpoint — 11 метрик в формате Prometheus (Basic auth) + готовый Grafana-дашборд на 14 панелей.
→ E2E smoke-тесты — 22 проверки после каждого деплоя (make smoke).

Улучшение

→ Оферта и Политика ПДн — переписаны под ИП на НПД (самозанятый), 152-ФЗ compliant.
→ Lifespan — 10 background-тасков обёрнуты в обработчик исключений, падения теперь видны в логах.
→ Makefile — 17 команд для повседневных операций (seed, smoke, backup, metrics, deploy-check).
→ Alert rules — готовые правила Prometheus для критичных сбоев (pending payments, blocked accounts, memory leaks).

Безопасность

→ /openapi.json и /api/docs закрыты в проде (доступны только при DEBUG=1).
→ Secure cookie flag на всех auth-сессиях.
→ Dockerfile multi-stage — runtime-образ без build-tools, non-root user maxsurge.

Инфраструктура

→ .env.example — полный шаблон переменных с комментариями.
→ seed_dev.py — фикстуры для dev-окружения (3 юзера, 10 лидов, 3 шаблона, 5 чатов).
→ DEPLOYMENT.md — добавлены разделы про 3 платёжных шлюза и background-задачи.

2026-04-16

Новый лендинг, единый стиль, SMM-инфраструктура

Новое

→ Полностью переработанный лендинг — новый H1, 5-этапная воронка, bento-grid фич, блок Early Access, калькулятор ROI.
→ Зелёная дизайн-система — единый стиль на всех 40+ страницах, email-шаблонах, favicon и OG-image.
→ Реферальная программа на главной — 20% L1 + 5% L2 теперь видны посетителям.
→ Блок гарантии — отдельная секция: 7 дней бесплатно, возврат, отмена в 1 клик.
→ Telegram-канал @maxsurge_ru — запущен с ботом-паблишером и контент-планом на 2 недели.
→ Changelog-карточки — автогенерация изображений для TG-постов об обновлениях.

Улучшение

→ Тарифы — тумблер месяц/год со скидкой 20%, подпись без скрытых комиссий.
→ Trust bar — 152-ФЗ, без установки, поддержка за 15 мин, ЮKassa.
→ FAQ — 8 вопросов с закрытием возражений (блокировки, оплата, закрывающие документы).
→ Скриншоты — перегенерированы в обновлённом интерфейсе.
→ Контрастность — алерты и статусы читаемы в светлой теме (dark: варианты).

Исправление

→ Шрифт Inter — подключен на все страницы.
→ Sticky CTA — мобильная кнопка внизу экрана.
→ Scroll progress bar — индикатор прогресса на лендинге.

2026-04-15

Production hardening: SMTP, Яндекс.Метрика, UptimeRobot, favicon, mobile, webhook fix

Новое

→ SMTP через Яндекс 360 — welcome, verify, reset password, onboarding серия (4 письма), upsell/winback.
→ Яндекс.Метрика 108689029 — webvisor, clickmap, ecommerce.
→ UptimeRobot — внешний uptime monitor /health, 5-мин интервал, email алерт.
→ Favicon — .ico (6 размеров) + apple-touch-icon для iOS home screen.
→ OG image 1200x630 — красивое превью в соцсетях (VK, TG, FB, Twitter).
→ Кастомные 404/500 — с градиентом в стиле лендинга.
→ Backup Telegram offsite — ежедневная доставка бэкапа в TG (настоящий offsite).
→ Яндекс.Вебмастер — домен подтверждён, sitemap.xml в индексации.
→ Mobile sidebar — burger menu + slide-in drawer для телефонов.

Исправление

→ Критический: ЮKassa webhook — был недоступен из-за AuthMiddleware (ни один платёж не обрабатывался). Добавлен exempt.
→ Scheduler — использовал несуществующий TaskStatus.PENDING (ошибка каждые 60с).
→ CSRF — middleware не сравнивал cookie с header, только проверял наличие.
→ /health HEAD — возвращал 405 на HEAD запросы (ломало UptimeRobot).
→ email_client._wrap_html — NameError в marketing шаблонах (trial_ending, upsell, winback).
→ SMTP_PASS → SMTP_PASSWORD — onboarding emails не читали пароль из .env.
→ passlib + bcrypt — trapped error (pin bcrypt==4.0.1).

Безопасность

→ SECRET_KEY — заменён с дефолтного на 86-символьный случайный.
→ ADMIN_PASSWORD — заменён на сильный + хеш в БД обновлён.
→ SSH — отключена парольная авторизация (только ключи).
→ fail2ban persistence — баны сохраняются в db/ip_bans.json, выживают рестарт.
→ Пароль при регистрации — минимум 8 символов + цифра + буквы.

Инфраструктура

→ SQLite WAL mode + busy_timeout 5s + synchronous=NORMAL (concurrent reads).
→ lifespan context manager вместо deprecated @app.on_event.
→ GZipMiddleware — 77% сжатия HTML (87k → 20k).
→ Cache-Control — static max-age 7 дней immutable, HTML no-store.
→ EnvironmentFile в systemd unit — .env загружается в process env.
→ Backup restore drill — проверено восстановление через SQLAlchemy async.

2026-04-12

PWA, кампании, tracking, блэклист, security hardening

Новое

→ PWA — MaxSurge теперь устанавливается как приложение на телефон (manifest + service worker).
→ Кампании рассылки — сохраняйте конфиги (шаблон + аудитория + A/B) и запускайте повторно одним кликом.
→ Click Tracking — короткие ссылки с подсчётом кликов и unique IP. Вставляйте в шаблоны для CTR.
→ Блэклист — исключайте номера/user_id из рассылки и инвайтинга. Bulk add.
→ Mass import user_id — загрузка файла со списком ID на странице инвайтинга + live counter.
→ Дубли лидов — поиск по телефону + merge: оставляете одного, удаляете остальных.
→ Контакт-карточка лида — popup при клике на имя: все данные + история отправок.
→ User webhook URL — задайте URL в настройках, MaxSurge будет POST-ить события (лиды, платежи).
→ Экспорт парсенных ID — кнопка на парсере для вставки в инвайтер.
→ Расписание рассылок — кнопка «Запланировать» + datetime picker. Scheduler loop 60с.
→ Quick-reply кнопки — inline keyboard в саппорт-боте для готовых ответов.

Улучшение

→ Дашборд: Chart.js графики лидов и сообщений за 14 дней.
→ Маркетплейс шаблонов — публикация + копирование одним кликом.
→ Онбординг расширен до 9 шагов, ссылка на /app/settings/ исправлена.
→ Бонусные дни за крупные платежи (3000/5000/10000 -> +7/14/30д).
→ 2-уровневая реферальная программа: 20% L1 + 5% L2.

Безопасность

→ UFW firewall: default deny, только 22/80/443 открыты снаружи.
→ CSRF double-submit cookie на все формы (auto-inject JS).
→ Security HTTP headers: HSTS, CSP, X-Frame, X-Content, Referrer, Permissions.
→ IP ban за brute-force: 10 fails / 10min -> 1h ban с TG алертом.
→ Error rate spike detector: 20 ошибок за 5мин -> TG алерт.
→ Admin login notify: TG + audit log при входе суперадмина.
→ pip-audit еженедельный CVE скан (pip 24->26, закрыты 2 CVE).
→ Secrets audit: проверка прав .env, gitignore, hardcoded secrets.

Инфраструктура

→ /metrics Prometheus endpoint — 15 метрик для Grafana.
→ /health deep checks — DB ping, disk, workers, db size.
→ systemd watchdog 90s + Type=notify с sdnotify.
→ Graceful shutdown: drain bots/guards/neurochats на SIGTERM.
→ journald capped 500M + logrotate weekly.
→ age-encrypted offsite backups (30d retention).
→ Docker container monitor (traefik, postgres, redis) каждые 10мин.
→ Error tracking DB + /app/admin/errors viewer.
→ Weekly report (воскресенье 07:00 UTC): users/revenue/activity/errors.
→ Ingest API rate-limit: 50 POST/мин + 1000 leads/ч на юзера.

2026-04-11

Help Center, ROI-калькулятор, email онбординг

Новое

→ База знаний /help — 10 практических статей по быстрому старту, рассылкам, инвайтингу, парсингу 2GIS, автоответчику и безопасности. Client-side поиск по статьям.
→ ROI-калькулятор на главной — интерактивный расчёт выручки и окупаемости MaxSurge для вашей ниши. Выбираете нишу → подставляются разумные дефолты → видите рекомендованный тариф.
→ Email онбординг-серия — 4 письма на 0/2/5/7 день после регистрации: welcome, напоминание про 2GIS, проверка прогресса, уведомление об окончании триала. Пока в DRY_RUN режиме (логируем вместо отправки) — подключим SMTP отдельно.
→ Отписка от рассылок — роут /email/unsubscribe с подписанным токеном, отдельная таблица email_preferences.
→ A/B тестирование рассылок (E4) — отправляем 2 варианта на контрольную группу, выбираем победителя.
→ Двухуровневая реферальная программа (E6) — 20% с первой линии, 5% со второй линии рефералов.
→ Avito userscript (E5) — браузерное расширение собирает объявления с Avito в ингест API MaxSurge.
→ Ежедневный digest + мониторинг здоровья (E7) — автоматические сводки и алерты в Telegram.

Инфраструктура

→ Ops-скрипты: backup_verify.sh, db_maintenance.sh, ssl_check.sh — регулярная проверка бэкапов, чистка БД, мониторинг SSL-сертификата.
→ Футер лендинга расширен: «База знаний» + «Журнал изменений».

2026-04-11

Лендинг v2, страж чата, боты, нейрочаттинг

Новое

→ Страж чата (P3) — автомодерация групп с фильтрами спама, ссылок и мата.
→ MAX Bot API (P2) — lead-боты, bonus-боты и support-боты через @MasterBot.
→ Нейрочаттинг — AI guerrilla marketing: автоответы ботов в групповых чатах с ненавязчивым упоминанием продукта.
→ Парсинг участников через историю (P4) — сбор user_id из истории сообщений чата (обход закрытых списков участников).
→ Двухступенчатая модерация шаблонов (P5) — автоматическая проверка рассылочных шаблонов перед отправкой: спам-фильтр + AI-классификация.
→ Tampermonkey userscript + public ingest API (P6) — браузерное расширение собирает данные прямо со страниц MAX и пушит в MaxSurge через публичный API-эндпоинт.

Улучшение

→ Лендинг v2: новый hero, блок метрик, killer-секция 2GIS, 9 карточек функций, 6 ниш бизнеса, сравнение с альтернативами, расширенный FAQ (10 вопросов), виджет Telegram-поддержки.
→ FAQPage schema.org для лучшего поискового сниппета.
→ Бейджи «киллер-фича» на 2GIS и TG→MAX форвардере в секции функций.

Инфраструктура

→ Автозапуск сервиса через systemd — MaxSurge переживает перезагрузку VPS без ручного вмешательства.
→ Git-репозиторий проекта: github.com/xyleo23/maxsurge.

2026-04-09

Реферальная программа, 2FA и TG→MAX форвардер

Новое

→ Реферальная программа: 20% с оплат приглашённых пользователей, личный кабинет реферала, ссылки с трекингом.
→ TG→MAX форвардер: перенос аудитории из Telegram-каналов в MAX через персонализированные приглашения.

Безопасность

→ Двухфакторная аутентификация (2FA) через TOTP (Google Authenticator, 1Password, etc).

2026-04-07

Блог, страница /about, биллинг через ЮKassa

Новое

→ Блог — первые 5 SEO-статей: гайд по MAX для бизнеса, сбор лидов из 2GIS, CRM и лидогенерация, прогрев аккаунтов, AI автоответчик.
→ Страница /about — прозрачность о работе сервиса.
→ Биллинг: подключена ЮKassa, оплата по карте РФ, автопродление подписки.
→ Юридические страницы: /terms, /privacy, договор-оферта.

2026-04-05

AI автоответчик, парсинг чатов, каталог

Новое

→ AI автоответчик с эмуляцией набора «печатает…» и режимом на базе LLM.
→ Парсинг чатов MAX: вступление в чаты и сбор user_id участников.
→ Каталог чатов MAX с категориями для быстрого поиска целевой аудитории.

Улучшение

→ Спинтакс {привет|здравствуйте} для уникализации сообщений.
→ Эмуляция набора текста для обхода антиспама.

2026-04-02

Публичный запуск MaxSurge v3.0

Новое

→ MaxSurge v3.0 — веб-панель инструментов для продвижения в мессенджере MAX запущена в публичный доступ.
→ Базовые модули: рассылка сообщений, инвайтинг в чаты, сбор лидов из 2GIS с привязкой к MAX ID, прогрев аккаунтов.
→ 4 тарифа: Trial (7 дней бесплатно), Start (1 490 ₽/мес), Basic (2 990 ₽/мес), Pro (4 990 ₽/мес).