Cap

Cap é uma alternativa de CAPTCHA de código aberto que protege formulários web e APIs de bots automatizados usando computação de prova de trabalho em vez de quebra-cabeças visuais. Desenvolvido como um substituto focado na privacidade para serviços como Google reCAPTCHA, hCaptcha e Cloudflare Turnstile, o Cap executa um desafio SHA-256 silencioso em WebAssembly diretamente no navegador do utilizador. Utilizadores reais resolvem o desafio em milissegundos sem o notar; os bots enfrentam um custo computacional que torna as submissões em massa economicamente inviáveis. Não são definidos cookies, não são rastreados dados comportamentais e toda a verificação acontece na sua própria infraestrutura.

Casos de Uso Comuns

Programadores que protegem formulários de registo e login de utilizadores substituem o reCAPTCHA pelo Cap para eliminar as preocupações com a privacidade e a dependência de terceiros que vêm com o serviço da Google. Formulários de contacto e secções de comentários em websites auto-hospedados usam o Cap para bloquear submissões de spam sem degradar a experiência do utilizador com quebra-cabeças de imagem ou barreiras de acessibilidade. Endpoints de API que aceitam entrada pública — formulários de feedback, endpoints de votação, submissões de dados públicos — adicionam verificação de token Cap para prevenir abuso por scripts sem custo adicional por pedido. Organizações sob GDPR ou outras regulamentações de privacidade usam o Cap porque não requer um banner de consentimento do utilizador: não há dados comportamentais para recolher ou consentimento para obter. Programadores SaaS que constroem produtos multi-inquilino incorporam o Cap em vários sites de clientes usando chaves de site separadas, cada uma com análises independentes. Equipas que constroem ferramentas internas auto-hospedam o Cap num VPS juntamente com as suas aplicações, mantendo toda a infraestrutura de proteção contra bots dentro do seu próprio perímetro de rede e longe de auditorias externas.

Principais Funcionalidades

• Desafios de prova de trabalho: A computação SHA-256 é executada em WebAssembly dentro do navegador, invisível para utilizadores reais e suficientemente dispendiosa para dissuadir bots sem os bloquear completamente.
• Zero cookies e rastreamento: Não são definidos cookies, não ocorre recolha de impressões digitais e nenhum dado é enviado para qualquer servidor externo — em conformidade com o GDPR, sem necessidade de pedido de consentimento.
• Widget de cliente de 20KB: O widget JavaScript incorporável é leve e não tem dependências externas, adicionando uma sobrecarga mínima a qualquer página.
• API de verificação REST: Um único POST HTTP para a sua instância Cap verifica um token de desafio de qualquer linguagem ou framework de backend.
• Painel de administração: Visualize as taxas de sucesso de desafios por site, métricas de falha e análises de uso; gira chaves de site e rote segredos sem reiniciar o serviço.
• Persistência Valkey: O estado do desafio é armazenado numa instância Valkey com persistência em disco, para que os tokens emitidos sobrevivam a reinícios de contentores.
• Suporte multi-site: Crie chaves de site separadas para múltiplos domínios ou projetos, cada uma com análises de desafio independentes e estatísticas de uso rastreadas no painel de administração.

Porquê implementar o Cap na VPS da Hostinger

Executar o Cap numa VPS da Hostinger significa que a sua proteção contra bots nunca depende da Google, Cloudflare, ou de qualquer outro serviço de terceiros que possa alterar os seus preços ou termos. A latência de verificação é determinada pela localização da sua VPS, em vez de uma API externa, mantendo os tempos de resposta previsíveis tanto para os utilizadores como para o seu backend. Não existem custos por verificação — um único custo fixo de VPS cobre desafios ilimitados em todos os seus sites e aplicações. Como o Cap é stateless, exceto pela sua Valkey store, ele funciona eficientemente nos planos de VPS mais pequenos e pode proteger dezenas de sites simultaneamente sem um uso notável de recursos.