Cap

Cap é uma alternativa CAPTCHA de código aberto que protege formulários web e APIs de bots automatizados usando computação de prova de trabalho em vez de quebra-cabeças visuais. Construído como um substituto que prioriza a privacidade para serviços como Google reCAPTCHA, hCaptcha e Cloudflare Turnstile, o Cap executa um desafio SHA-256 silencioso em WebAssembly diretamente no navegador do usuário. Usuários reais resolvem o desafio em milissegundos sem perceber; bots enfrentam um custo computacional que torna as submissões em massa economicamente inviáveis. Nenhum cookie é definido, nenhum dado comportamental é rastreado, e toda a verificação acontece na sua própria infraestrutura.

Casos de Uso Comuns

Desenvolvedores que protegem formulários de registro e login de usuários substituem o reCAPTCHA pelo Cap para eliminar as preocupações com privacidade e a dependência de terceiros que vêm com o serviço do Google. Formulários de contato e seções de comentários em sites auto-hospedados usam o Cap para bloquear submissões de spam sem degradar a experiência do usuário com quebra-cabeças de imagem ou barreiras de acessibilidade. Endpoints de API que aceitam entrada pública — formulários de feedback, endpoints de votação, submissões de dados públicos — adicionam verificação de token Cap para prevenir abuso automatizado sem custo adicional por requisição. Organizações sob GDPR ou outras regulamentações de privacidade usam o Cap porque ele não requer um banner de consentimento do usuário: não há dados comportamentais para coletar ou consentimento para obter. Desenvolvedores SaaS que constroem produtos multi-tenant incorporam o Cap em vários sites de clientes usando chaves de site separadas, cada uma com análises independentes. Equipes que constroem ferramentas internas auto-hospedam o Cap em um VPS junto com suas aplicações, mantendo toda a infraestrutura de proteção contra bots dentro de seu próprio perímetro de rede e longe de auditorias externas.

Principais Recursos

• Desafios de prova de trabalho: A computação SHA-256 é executada em WebAssembly dentro do navegador, invisível para usuários reais e custosa o suficiente para dissuadir bots sem bloqueá-los completamente.
• Zero cookies e rastreamento: Nenhum cookie é definido, nenhuma impressão digital ocorre e nenhum dado é enviado para qualquer servidor externo — compatível com GDPR, sem necessidade de aviso de consentimento.
• Widget de cliente de 20KB: O widget JavaScript incorporável é leve e não possui dependências externas, adicionando sobrecarga mínima a qualquer página.
• API de verificação REST: Um único HTTP POST para sua instância Cap verifica um token de desafio de qualquer linguagem ou framework de backend.
• Painel de administração: Visualize taxas de aprovação de desafios por site, métricas de falha e análises de uso; gerencie chaves de site e rotacione segredos sem reiniciar o serviço.
• Persistência Valkey: O estado do desafio é armazenado em uma instância Valkey com persistência em disco, para que os tokens emitidos sobrevivam a reinícios de contêineres.
• Suporte multi-site: Crie chaves de site separadas para múltiplos domínios ou projetos, cada uma com análises de desafio independentes e estatísticas de uso rastreadas no painel de administração.

Por que implantar o Cap no VPS da Hostinger

Executar o Cap em um VPS da Hostinger significa que sua proteção contra bots nunca dependerá do Google, Cloudflare ou de qualquer outro serviço de terceiros que possa alterar seus preços ou termos. A latência de verificação é determinada pela localização do seu VPS, em vez de uma API externa, mantendo os tempos de resposta previsíveis tanto para os usuários quanto para o seu backend. Não há cobranças por verificação — um único custo fixo de VPS cobre desafios ilimitados em todos os seus sites e aplicações. Como o Cap é stateless, exceto por seu armazenamento Valkey, ele funciona eficientemente nos menores planos de VPS e pode proteger dezenas de sites simultaneamente sem uso perceptível de recursos.