Cap

Cap est une alternative open-source à CAPTCHA qui protège les formulaires web et les API des bots automatisés en utilisant un calcul de preuve de travail au lieu d'énigmes visuelles. Conçu comme un remplacement axé sur la confidentialité pour des services comme Google reCAPTCHA, hCaptcha et Cloudflare Turnstile, Cap exécute un défi SHA-256 silencieux en WebAssembly directement dans le navigateur de l'utilisateur. Les utilisateurs réels résolvent le défi en quelques millisecondes sans le remarquer ; les bots sont confrontés à un coût de calcul qui rend les soumissions de masse économiquement irréalisables. Aucun cookie n'est défini, aucune donnée comportementale n'est suivie, et toute la vérification se fait sur votre propre infrastructure.

Cas d'utilisation courants

Les développeurs protégeant les formulaires d'inscription et de connexion des utilisateurs remplacent reCAPTCHA par Cap pour éliminer les préoccupations de confidentialité et la dépendance à des tiers qui accompagnent le service de Google. Les formulaires de contact et les sections de commentaires sur les sites web auto-hébergés utilisent Cap pour bloquer les soumissions de spam sans dégrader l'expérience utilisateur avec des énigmes visuelles ou des barrières d'accessibilité. Les points de terminaison d'API qui acceptent des entrées publiques — formulaires de commentaires, points de terminaison de vote, soumissions de données publiques — ajoutent la vérification de jetons Cap pour prévenir les abus scriptés sans coût supplémentaire par requête. Les organisations soumises au RGPD ou à d'autres réglementations de confidentialité utilisent Cap car il ne nécessite aucune bannière de consentement de l'utilisateur : il n'y a pas de données comportementales à collecter ni de consentement à obtenir. Les développeurs SaaS créant des produits multi-locataires intègrent Cap sur plusieurs sites clients en utilisant des clés de site distinctes, chacune avec des analyses indépendantes. Les équipes développant des outils internes auto-hébergent Cap sur un VPS à côté de leurs applications, en gardant toute l'infrastructure de protection contre les bots au sein de leur propre périmètre réseau et à l'abri des audits externes.

Fonctionnalités clés

• Défis de preuve de travail : Le calcul SHA-256 s'exécute en WebAssembly dans le navigateur, invisible pour les utilisateurs réels et suffisamment coûteux pour dissuader les bots sans les bloquer complètement.
• Zéro cookie et suivi : Aucun cookie n'est défini, aucune empreinte numérique n'est effectuée, et aucune donnée n'est envoyée à un serveur externe — conforme au RGPD sans nécessiter de bannière de consentement.
• Widget client de 20 Ko : Le widget JavaScript intégrable est léger et n'a aucune dépendance externe, ajoutant une surcharge minimale à n'importe quelle page.
• API de vérification REST : Une seule requête HTTP POST à votre instance Cap vérifie un jeton de défi depuis n'importe quel langage ou framework backend.
• Tableau de bord d'administration : Affichez les taux de réussite des défis par site, les métriques d'échec et les analyses d'utilisation ; gérez les clés de site et faites pivoter les secrets sans redémarrer le service.
• Persistance Valkey : L'état du défi est stocké dans une instance Valkey avec persistance sur disque, de sorte que les jetons émis survivent aux redémarrages de conteneurs.
• Support multi-site : Créez des clés de site distinctes pour plusieurs domaines ou projets, chacune avec des analyses de défi et des statistiques d'utilisation indépendantes suivies dans le panneau d'administration.

Pourquoi déployer Cap sur un VPS Hostinger

Exécuter Cap sur un VPS Hostinger signifie que votre protection anti-bot ne dépend jamais de Google, Cloudflare ou de tout autre service tiers qui pourrait modifier ses tarifs ou ses conditions. La latence de vérification est déterminée par l'emplacement de votre VPS plutôt que par une API externe, ce qui maintient des temps de réponse prévisibles pour les utilisateurs comme pour votre backend. Il n'y a pas de frais par vérification — un coût VPS fixe unique couvre un nombre illimité de défis sur tous vos sites et applications. Parce que Cap est sans état, à l'exception de son magasin Valkey, il fonctionne efficacement sur les plus petites offres VPS et peut protéger des dizaines de sites simultanément sans utilisation notable des ressources.