Cap
Self-hosted CAPTCHA ohne Google, Tracking und visuelle Rätsel
Zusammenfassung
Cap ist eine selbst-gehostete CAPTCHA-Alternative zu reCAPTCHA und hCaptcha, die komplett ohne visuelle Rätsel, Tracking und Drittanbieter auskommt. Das Tool nutzt Proof-of-Work (SHA-256) und Browser-Instrumentation zur Bot-Erkennung und ist mit nur 20kb extrem schlank. Cap ist Open Source (Apache 2.0), GDPR-konform und kann mit einem Docker-Container auf jedem Server betrieben werden.
✓ Vorteile
- + Vollständig selbst-gehostet ohne externe Abhängigkeiten oder Tracking
- + Open Source (Apache 2.0) und extrem klein (20kb vs. 600kb+ bei hCaptcha)
- + Keine visuellen Rätsel, GDPR-konform und kompatibel mit reCAPTCHA-APIs
✗ Nachteile
- − Erfordert eigene Server-Infrastruktur und technisches Setup (Docker)
- − Keine Cloud-Lösung mit sofortiger Nutzung wie bei kommerziellen Anbietern
Anwendungsfälle
- → Formular-Schutz auf Websites ohne Daten an Google oder Cloudflare zu senden
- → API-Schutz gegen automatisierten Missbrauch bei gleichzeitiger Whitelist für vertrauenswürdige Clients
- → GDPR-konforme Bot-Abwehr für europäische Websites und SaaS-Anwendungen
- → Migration von reCAPTCHA/hCaptcha zu einer selbst-gehosteten Privacy-First-Lösung
Ideal für
Entwickler und Website-Betreiber, die datenschutzfreundliche Bot-Abwehr ohne Drittanbieter-Tracking suchen und bereit sind, eine eigene Infrastruktur zu betreiben.
Tags
Was ist Cap?
Cap ist eine selbst-gehostete CAPTCHA-Alternative zu reCAPTCHA und hCaptcha. Statt visueller Rätsel setzt Cap auf Proof-of-Work (SHA-256) und Browser-Instrumentation, um Bots vom menschlichen Traffic zu unterscheiden. Das gesamte System läuft auf eigener Infrastruktur, es werden keine Daten an Google, Cloudflare oder andere Dritte übertragen. Cap ist Open Source unter Apache 2.0 und mit 20kb Client-Gewicht deutlich schlanker als hCaptcha, das mit über 600kb zu Buche schlägt.
Kernfunktionen
- Proof-of-Work-Verifikation via SHA-256 kombiniert mit Browser-Instrumentation zur Bot-Erkennung, ohne den Nutzer mit Bilderrätseln zu belasten
- Vollständig selbst-gehostet per Docker-Container, ohne externe Abhängigkeiten oder Callbacks zu Drittdiensten
- GDPR-Konformität durch das Fehlen jeglichen Trackings und der Verarbeitung personenbezogener Daten außerhalb der eigenen Infrastruktur
- API-Kompatibilität mit reCAPTCHA, was die Migration bestehender Integrationen vereinfacht
- Whitelist-Funktion für vertrauenswürdige Clients beim Schutz von APIs gegen automatisierten Missbrauch
Für wen eignet sich Cap?
Cap richtet sich an Entwickler und Website-Betreiber, die bestehende CAPTCHA-Dienste ersetzen wollen, weil ihnen das Tracking-Modell von reCAPTCHA oder hCaptcha nicht passt. Besonders relevant ist das für europäische SaaS-Produkte und Websites, bei denen Datenschutzbehörden die Einbindung externer Dienste kritisch bewerten. Voraussetzung ist eine eigene Server-Infrastruktur. Ohne Docker-Kenntnisse hakt es bereits beim Setup. Eine Cloud-Option mit sofort nutzbarem Endpunkt gibt es nicht.
Einordnung & Alternativen
Cap gehört zur wachsenden Kategorie der Privacy-First-Sicherheitswerkzeuge, die kommerzielle Dienste durch selbst-gehostete Varianten ersetzen. Direkte Alternativen sind hCaptcha und Google reCAPTCHA, beide aber cloud-basiert und mit Tracking verbunden. Friendly Captcha bietet ebenfalls einen Proof-of-Work-Ansatz, operiert jedoch als gehosteter Dienst. Wer die vollständige Datenkontrolle auf eigener Infrastruktur braucht und bereit ist, dafür ein Docker-Setup zu betreiben, findet in Cap die konsequentere Lösung.
