🔒 Аудит: безопасность, TypeScript, UI, BottomNav

Безопасность:
- proxy: белый список путей (только /sub/*), POST заблокирован
- console.log заменён на logger (утечки URL/данных)
- OnboardingFlow: убраны --tg-theme-* (не существуют в проекте)

TypeScript (0 ошибок):
- tsconfig target es5→es2017 (regex /u flag fix)
- layout.tsx: viewport перенесён в metadata (Next.js 13.5)
- telegram-webhook: fix text possibly undefined
- hooks/useTelegramWebApp: fix Object possibly undefined
- types/telegram: убрана дублирующая Window декларация

UI:
- BottomNav: новый компонент (Назад/Главная/Помощь)
- safe-area-bottom CSS класс добавлен в globals.css
- dashboard: spacer h-20, toast поднят над BottomNav
- OnboardingFlow: цены 149/249/350₽ (были 200/350/500₽)

Очистка:
- page_NEW.tsx удалён локально (не был в git)

app/api/create-user/route.ts

@@ -23,8 +23,8 @@ export async function POST(request: NextRequest) {
   try {
     const { 
       planType, 
-      period = '1month',     // NEW: период оплаты
-      locationIds = [],      // NEW: выбранные локации (ID нод)
+      period = '1month',
+      locationIds = [],
       telegramId, 
       telegramUsername, 
       firstName, 
@@ -79,7 +79,6 @@ export async function POST(request: NextRequest) {
       username = `user_${Date.now()}_${Math.random().toString(36).substring(7)}`;
     }
 
-    console.log('✅ Generated username:', username);
     logger.debug('✅ Generated username:', username);
     logger.debug('📊 Telegram data:', { telegramId, telegramUsername, firstName, lastName });