Cap

Cap est une alternative open source aux CAPTCHA, conçue pour protéger les formulaires web et les API des bots automatisés. Au lieu de s'appuyer sur des puzzles visuels, Cap utilise un calcul de preuve de travail. Pensé comme une solution respectueuse de la vie privée pour remplacer des services tels que Google reCAPTCHA, hCaptcha et Cloudflare Turnstile, Cap exécute un défi SHA-256 silencieux en WebAssembly directement dans le navigateur de l'utilisateur. Les utilisateurs réels résolvent ce défi en quelques millisecondes sans même s'en rendre compte, tandis que les bots sont confrontés à un coût de calcul qui rend les soumissions massives économiquement irréalisables. Aucun cookie n'est défini, aucune donnée comportementale n'est suivie, et toutes les vérifications sont effectuées sur votre propre infrastructure.

Cas d'utilisation courants

Les développeurs protégeant les formulaires d'inscription et de connexion remplacent reCAPTCHA par Cap pour éliminer les problèmes de confidentialité et la dépendance vis-à-vis des services tiers de Google. Les formulaires de contact et les sections de commentaires sur les sites web auto-hébergés utilisent Cap pour bloquer le spam sans nuire à l'expérience utilisateur avec des puzzles visuels ou des obstacles d'accessibilité. Les points d'accès API qui acceptent des entrées publiques — formulaires de feedback, points de vote, soumissions de données publiques — intègrent la vérification de jetons Cap pour prévenir les abus scriptés, sans coût supplémentaire par requête. Les organisations soumises au RGPD ou à d'autres réglementations de confidentialité adoptent Cap car il ne requiert aucune bannière de consentement utilisateur : aucune donnée comportementale n'est collectée ni aucun consentement n'est à obtenir. Les développeurs SaaS créant des produits multi-locataires intègrent Cap sur plusieurs sites clients à l'aide de clés de site distinctes, chacune avec des analyses indépendantes. Les équipes développant des outils internes auto-hébergent Cap sur un VPS, aux côtés de leurs applications, maintenant ainsi toute l'infrastructure de protection contre les bots au sein de leur propre périmètre réseau et à l'abri des audits externes.

Fonctionnalités clés

• Défis de preuve de travail : Le calcul SHA-256 s'exécute en WebAssembly dans le navigateur, invisible pour les utilisateurs réels et suffisamment coûteux pour dissuader les bots sans les bloquer complètement.
• Zéro cookie et suivi : Aucun cookie n'est défini, aucune empreinte numérique n'est effectuée et aucune donnée n'est envoyée à un serveur externe — conforme au RGPD sans nécessiter de demande de consentement.
• Widget client de 20 Ko : Le widget JavaScript intégrable est léger et n'a aucune dépendance externe, ajoutant une surcharge minimale à n'importe quelle page.
• API de vérification REST : Une simple requête HTTP POST à votre instance Cap vérifie un jeton de défi depuis n'importe quel langage ou framework backend.
• Tableau de bord d'administration : Affichez les taux de réussite des défis par site, les métriques d'échec et les analyses d'utilisation ; gérez les clés de site et faites pivoter les secrets sans redémarrer le service.
• Persistance Valkey : L'état du défi est stocké dans une instance Valkey avec persistance sur disque, de sorte que les jetons émis survivent aux redémarrages de conteneurs.
• Support multi-site : Créez des clés de site distinctes pour plusieurs domaines ou projets, chacun avec des analyses de défis et des statistiques d'utilisation indépendantes suivies dans le panneau d'administration.

Pourquoi déployer Cap sur un VPS Hostinger

Déployer Cap sur un VPS Hostinger, c'est s'assurer que votre protection anti-bots ne dépend jamais de Google, Cloudflare ou de tout autre service tiers susceptible de modifier ses tarifs ou ses conditions. La latence de vérification est déterminée par l'emplacement de votre VPS plutôt que par une API externe, ce qui garantit des temps de réponse prévisibles pour les utilisateurs comme pour votre backend. Aucuns frais ne sont facturés par vérification — un coût VPS fixe unique couvre un nombre illimité de défis sur tous vos sites et applications. Puisque Cap est sans état, hormis son stockage Valkey, il fonctionne efficacement sur les plus petits plans VPS et peut protéger des dizaines de sites simultanément sans utilisation notable des ressources.