Cap

Cap ist eine Open-Source, selbst gehostete CAPTCHA-Alternative, die Webformulare und APIs vor automatisierten Bots schützt, indem sie Proof-of-Work-Berechnungen anstelle von visuellen Rätseln verwendet. Entwickelt als datenschutzorientierter Ersatz für Dienste wie Google reCAPTCHA, hCaptcha und Cloudflare Turnstile, führt Cap eine stille SHA-256-Challenge in WebAssembly direkt im Browser des Benutzers aus. Echte Benutzer lösen die Challenge in Millisekunden, ohne es zu bemerken; Bots stehen vor einem Rechenaufwand, der Masseneinreichungen wirtschaftlich unmöglich macht. Es werden keine Cookies gesetzt, keine Verhaltensdaten verfolgt und die gesamte Verifizierung erfolgt auf Ihrer eigenen Infrastruktur.

Häufige Anwendungsfälle

Entwickler, die Benutzerregistrierungs- und Anmeldeformulare schützen, ersetzen reCAPTCHA durch Cap, um die Datenschutzbedenken und die Abhängigkeit von Drittanbietern, die mit Googles Dienst einhergehen, zu eliminieren. Kontaktformulare und Kommentarbereiche auf selbst gehosteten Websites verwenden Cap, um Spam-Einreichungen zu blockieren, ohne die Benutzererfahrung durch Bilderrätsel oder Barrierefreiheitseinschränkungen zu beeinträchtigen. API-Endpunkte, die öffentliche Eingaben akzeptieren – Feedback-Formulare, Abstimmungs-Endpunkte, öffentliche Datenübermittlungen – fügen die Cap-Token-Verifizierung hinzu, um skriptgesteuerten Missbrauch ohne zusätzliche Kosten pro Anfrage zu verhindern. Organisationen, die der DSGVO oder anderen Datenschutzbestimmungen unterliegen, verwenden Cap, da es kein Benutzerzustimmungsbanner erfordert: Es gibt keine Verhaltensdaten zu sammeln oder eine Zustimmung einzuholen. SaaS-Entwickler, die Multi-Tenant-Produkte erstellen, betten Cap auf mehreren Client-Websites mit separaten Website-Schlüsseln ein, jede mit unabhängigen Analysen. Teams, die interne Tools entwickeln, hosten Cap auf einem VPS neben ihren Anwendungen selbst und halten die gesamte Bot-Schutz-Infrastruktur innerhalb ihres eigenen Netzwerkperimeters und fern von externen Audits.

Hauptmerkmale

• Proof-of-Work-Challenges: Die SHA-256-Berechnung läuft in WebAssembly im Browser, unsichtbar für echte Benutzer und kostspielig genug, um Bots abzuschrecken, ohne sie vollständig zu blockieren.
• Keine Cookies und kein Tracking: Es werden keine Cookies gesetzt, kein Fingerprinting durchgeführt und keine Daten an externe Server gesendet – DSGVO-konform, ohne dass eine Zustimmungsaufforderung erforderlich ist.
• 20KB Client-Widget: Das einbettbare JavaScript-Widget ist leichtgewichtig und hat keine externen Abhängigkeiten, wodurch es jeder Seite nur minimalen Overhead hinzufügt.
• REST-Verifizierungs-API: Ein einzelner HTTP-POST an Ihre Cap-Instanz verifiziert ein Challenge-Token von jeder Backend-Sprache oder jedem Framework.
• Admin-Dashboard: Zeigen Sie die Erfolgsraten, Fehlermetriken und Nutzungsanalysen pro Website an; verwalten Sie Website-Schlüssel und rotieren Sie Geheimnisse, ohne den Dienst neu zu starten.
• Valkey-Persistenz: Der Challenge-Status wird in einer Valkey-Instanz mit Festplattenpersistenz gespeichert, sodass ausgegebene Tokens Container-Neustarts überstehen.
• Multi-Site-Unterstützung: Erstellen Sie separate Website-Schlüssel für mehrere Domains oder Projekte, jeweils mit unabhängigen Challenge-Analysen und Nutzungsstatistiken, die im Admin-Panel verfolgt werden.

Warum Cap auf Hostinger VPS bereitstellen?

Der Betrieb von Cap auf einem Hostinger VPS bedeutet, dass Ihr Bot-Schutz niemals von Google, Cloudflare oder einem anderen Drittanbieterdienst abhängt, der seine Preise oder Bedingungen ändern könnte. Die Verifizierungs-Latenz wird durch den Standort Ihres VPS bestimmt und nicht durch eine externe API, was die Antwortzeiten für Benutzer und Ihr Backend gleichermaßen vorhersehbar macht. Es fallen keine Gebühren pro Verifizierung an — ein einziger fester VPS-Preis deckt unbegrenzte Herausforderungen auf all Ihren Websites und Anwendungen ab. Da Cap bis auf seinen Valkey-Speicher zustandslos ist, läuft es effizient auf den kleinsten VPS-Plänen und kann Dutzende von Websites gleichzeitig schützen, ohne merklichen Ressourcenverbrauch.