Adiciona autenticação opcional, VNC integrado, GPU por stream, proxy HLS e melhorias de segurança

---

- Adicionado sistema de autenticação opcional via AUTH_USER/AUTH_PASS: middleware Next.js, página de login, cookie rolling de
30 dias, timingSafeEqual para comparação segura de credenciais;
- Adicionado proxy HLS em /api/hls/[...path] que roteia para localhost:8888 internamente; player e player-static atualizados
para usar a rota proxy;
- Adicionada página /vnc/[id] integrada na UI (iframe + botão Back com auto-hide), substituindo abertura em nova aba;
- Adicionado campo gpu: boolean por stream; controlado via {{GPU_FLAGS}} no template do Chromium e no reprovision.mjs;
- Ajustado delay da primeira thumbnail para stream.delay + 60 para garantir conclusão do autologin antes da captura;
- Atualizado docker-compose.yml: porta 6080 vinculada a localhost, portas 1935 e 8888 comentadas por padrão;
- Traduzidos todos os comentários de código do português para o inglês;
- Adicionado crédito riguetto.dev no header com underline no hover;
- README e CLAUDE.md atualizados com arquitetura, portas e features corretas;

---

src/lib/auth.ts

@@ -0,0 +1,19 @@
+// Edge-compatible — no Node.js imports here (used in middleware)
+
+export const AUTH_ENABLED = !!(process.env.AUTH_USER && process.env.AUTH_PASS)
+export const COOKIE_NAME = "ds_session"
+
+// HMAC-SHA256(user, key=pass) — deterministic, no in-memory state, survives restarts
+// Works in both Edge (SubtleCrypto) and Node.js runtime
+export async function computeSessionToken(): Promise<string> {
+  const user = process.env.AUTH_USER ?? ""
+  const pass = process.env.AUTH_PASS ?? ""
+  const enc = new TextEncoder()
+  const key = await globalThis.crypto.subtle.importKey(
+    "raw", enc.encode(pass),
+    { name: "HMAC", hash: "SHA-256" },
+    false, ["sign"]
+  )
+  const sig = await globalThis.crypto.subtle.sign("HMAC", key, enc.encode(user))
+  return Array.from(new Uint8Array(sig), b => b.toString(16).padStart(2, "0")).join("")
+}