Cap

Cap è un'alternativa CAPTCHA open-source che protegge moduli web e API da bot automatizzati utilizzando la computazione proof-of-work invece di puzzle visivi. Costruito come sostituto privacy-first per servizi come Google reCAPTCHA, hCaptcha e Cloudflare Turnstile, Cap esegue una sfida SHA-256 silenziosa in WebAssembly direttamente nel browser dell'utente. Gli utenti reali risolvono la sfida in millisecondi senza accorgersene; i bot affrontano un costo computazionale che rende le sottomissioni di massa economicamente impraticabili. Nessun cookie viene impostato, nessun dato comportamentale viene tracciato e tutta la verifica avviene sulla tua infrastruttura.

Casi d'uso comuni

Gli sviluppatori che proteggono i moduli di registrazione e accesso degli utenti sostituiscono reCAPTCHA con Cap per eliminare le preoccupazioni sulla privacy e la dipendenza da terze parti che derivano dal servizio di Google. I moduli di contatto e le sezioni commenti sui siti web self-hosted utilizzano Cap per bloccare le sottomissioni di spam senza degradare l'esperienza utente con puzzle di immagini o barriere di accessibilità. Gli endpoint API che accettano input pubblici — moduli di feedback, endpoint di voto, sottomissioni di dati pubblici — aggiungono la verifica del token Cap per prevenire abusi scriptati senza costi aggiuntivi per richiesta. Le organizzazioni soggette al GDPR o ad altre normative sulla privacy utilizzano Cap perché non richiede alcun banner di consenso dell'utente: non ci sono dati comportamentali da raccogliere o consensi da ottenere. Gli sviluppatori SaaS che creano prodotti multi-tenant incorporano Cap su più siti client utilizzando chiavi di sito separate, ognuna con analisi indipendenti. I team che creano strumenti interni auto-ospitano Cap su un VPS insieme alle loro applicazioni, mantenendo tutta l'infrastruttura di protezione dai bot all'interno del proprio perimetro di rete e lontano da audit esterni.

Caratteristiche principali

• Sfide proof-of-work: La computazione SHA-256 viene eseguita in WebAssembly all'interno del browser, invisibile agli utenti reali e sufficientemente costosa da scoraggiare i bot senza bloccarli del tutto.
• Zero cookie e tracciamento: Nessun cookie viene impostato, nessun fingerprinting avviene e nessun dato viene inviato a server esterni — conforme al GDPR senza richiesta di consenso.
• Widget client da 20KB: Il widget JavaScript incorporabile è leggero e non ha dipendenze esterne, aggiungendo un overhead minimo a qualsiasi pagina.
• API di verifica REST: Una singola richiesta HTTP POST alla tua istanza Cap verifica un token di sfida da qualsiasi linguaggio o framework backend.
• Dashboard di amministrazione: Visualizza i tassi di successo delle sfide per sito, le metriche di fallimento e le analisi di utilizzo; gestisci le chiavi del sito e ruota i segreti senza riavviare il servizio.
• Persistenza Valkey: Lo stato della sfida è memorizzato in un'istanza Valkey con persistenza su disco, quindi i token emessi sopravvivono ai riavvii dei container.
• Supporto multi-sito: Crea chiavi di sito separate per più domini o progetti, ognuno con analisi delle sfide e statistiche di utilizzo indipendenti tracciate nel pannello di amministrazione.

Perché implementare Cap su Hostinger VPS

Eseguire Cap su un VPS Hostinger significa che la tua protezione bot non dipende mai da Google, Cloudflare o qualsiasi altro servizio di terze parti che potrebbe modificare i suoi prezzi o termini. La latenza di verifica è determinata dalla tua posizione VPS piuttosto che da un'API esterna, mantenendo i tempi di risposta prevedibili sia per gli utenti che per il tuo backend. Non ci sono costi per verifica: un singolo costo fisso del VPS copre sfide illimitate su tutti i tuoi siti e applicazioni. Poiché Cap è stateless, ad eccezione del suo store Valkey, funziona in modo efficiente sui piani VPS più piccoli e può proteggere decine di siti contemporaneamente senza un utilizzo di risorse evidente.