Cap

Cap is een open-source CAPTCHA-alternatief dat webformulieren en API's beschermt tegen geautomatiseerde bots door middel van proof-of-work-berekeningen in plaats van visuele puzzels. Ontwikkeld als een privacy-vriendelijk alternatief voor diensten zoals Google reCAPTCHA, hCaptcha en Cloudflare Turnstile, voert Cap een stille SHA-256-uitdaging uit in WebAssembly, rechtstreeks in de browser van de gebruiker. Echte gebruikers lossen de uitdaging in milliseconden op zonder het te merken; bots worden geconfronteerd met een rekenkundige kost die massale inzendingen economisch onhaalbaar maakt. Er worden geen cookies geplaatst, geen gedragsgegevens bijgehouden en alle verificatie gebeurt op je eigen infrastructuur.

Veelvoorkomende Gebruiksscenario's

Ontwikkelaars die gebruikersregistratie- en inlogformulieren beveiligen, vervangen reCAPTCHA door Cap om de privacyproblemen en afhankelijkheid van derden die gepaard gaan met de dienst van Google weg te nemen. Contactformulieren en commentaarsecties op zelfgehoste websites gebruiken Cap om spam-inzendingen te blokkeren zonder de gebruikerservaring te verslechteren met afbeeldingspuzzels of toegankelijkheidsbarrières. API-eindpunten die openbare invoer accepteren — feedbackformulieren, stem-eindpunten, openbare gegevensinzendingen — voegen Cap-tokenverificatie toe om geautomatiseerd misbruik te voorkomen zonder extra kosten per verzoek. Organisaties die onder de GDPR of andere privacyregelgeving vallen, gebruiken Cap omdat het geen gebruikersconsentbanner vereist: er hoeven geen gedragsgegevens verzameld te worden of toestemming verkregen te worden. SaaS-ontwikkelaars die multi-tenant producten bouwen, integreren Cap op meerdere klantensites met behulp van afzonderlijke site-sleutels, elk met onafhankelijke analyses. Teams die interne tools bouwen, hosten Cap zelf op een VPS naast hun applicaties, waardoor alle bot-beveiligingsinfrastructuur binnen hun eigen netwerkperimeter blijft en buiten externe controle valt.

Belangrijkste Kenmerken

• Proof-of-work-uitdagingen: SHA-256-berekeningen worden uitgevoerd in WebAssembly in de browser, onzichtbaar voor echte gebruikers en kostbaar genoeg om bots af te schrikken zonder ze volledig te blokkeren.
• Geen cookies en tracking: Er worden geen cookies geplaatst, geen fingerprinting uitgevoerd en geen gegevens naar externe servers gestuurd — GDPR-conform zonder dat een toestemmingsvraag nodig is.
• 20KB clientwidget: De inbedbare JavaScript-widget is lichtgewicht en heeft geen externe afhankelijkheden, waardoor de overhead voor elke pagina minimaal is.
• REST-verificatie-API: Een enkele HTTP POST naar je Cap-instantie verifieert een uitdagingstoken vanuit elke backend-taal of -framework.
• Admin-dashboard: Bekijk de slagingspercentages van uitdagingen per site, foutstatistieken en gebruiksanalyses; beheer site-sleutels en roteer geheimen zonder de service opnieuw op te starten.
• Valkey-persistentie: De status van de uitdaging wordt opgeslagen in een Valkey-instantie met schijfpersistentie, zodat uitgegeven tokens containerherstarts overleven.
• Ondersteuning voor meerdere sites: Maak afzonderlijke site-sleutels aan voor meerdere domeinen of projecten, elk met onafhankelijke uitdagingenanalyses en gebruiksstatistieken die worden bijgehouden in het admin-paneel.

Waarom Cap implementeren op Hostinger VPS

Cap draaien op een Hostinger VPS betekent dat je botbeveiliging nooit afhankelijk is van Google, Cloudflare, of enige andere externe dienst die zijn prijzen of voorwaarden zou kunnen wijzigen. De verificatielatentie wordt bepaald door de locatie van je VPS in plaats van een externe API, waardoor de reactietijden voorspelbaar blijven voor zowel gebruikers als je backend. Er zijn geen kosten per verificatie — één vaste VPS-kost dekt onbeperkte uitdagingen voor al je sites en applicaties. Omdat Cap stateless is, behalve voor zijn Valkey store, draait het efficiënt op de kleinste VPS-abonnementen en kan het tientallen sites tegelijk beschermen zonder merkbaar resourcegebruik.