Caputchin
Alle Funktionen
Verifizierung

Drei Verteidigungsschichten, vier Flächen, kein Bot kommt durch

Verifizierung ist der Kern von Caputchin. Die Gates arbeiten zusammen; die Flächen sind, wie du sie in deinen Stack einbindest. Der Standardweg ist das Widget plus ein Verify-Aufruf aus deinem Backend. Die anderen Flächen sind da, wenn der Standard nicht passt.

Wie eine Verifizierung abläuft.

Der Besucher öffnet deine Seite. Das Widget lässt die Gates laufen. Ein signiertes Token wandert zu deinem Backend. Dein Backend bittet uns, es zu bestätigen.

  1. BesucherÖffnet deine Seite
  2. Caputchin-WidgetLädt in deiner Seite
  3. Gaming-Anti-CheatLäuft in einem gesandboxten Iframe
  4. Dein BackendEmpfängt das umhüllte Token
  5. /siteverifyCaputchin bestätigt das Token
Dieselbe Form, ob du das Widget einbindest, die API direkt aufrufst oder die gehostete Verifizierung nutzt. Das umhüllte Token ist das Einzige, das vom Browser des Besuchers zu deinem Backend übergeht.
Bedrohungsmatrix
Jeder Tarif

Jede Schicht treibt die Kosten bei einem anderen Angriff hoch.

Keine einzelne Schicht soll jeden Angriff allein schlagen. Es geht um die Komposition: Bis eine Anfrage das Spiel erreicht, hat sie schon den Tribut jedes Gates davor gezahlt. Ehrliche Übersicht unten.

  • Curl- und Fetch-Skripte
    Nackte HTTP-Skripte, die direkt deinen Endpunkt treffen.
    Schichten, die ihm begegnen
    • Browser-Instrumentierung
  • Headless-Browser
    Puppeteer, Playwright oder Selenium, die im Hintergrund laufen.
    Schichten, die ihm begegnen
    • Browser-Instrumentierung
  • Bot-Farmen mit echten Browsern
    Echte Chrome-Instanzen auf gemieteten Servern, manchmal von Menschen gesteuert.
    Schichten, die ihm begegnen
    • Proof of Work
    • Gaming-Anti-Cheat
  • Solver-as-a-Service
    Bezahlte Solver-Farmen, die eine Aufgabe annehmen und die Antwort zurückgeben, oft mit billiger menschlicher Arbeit.
    Schichten, die ihm begegnen
    • Proof of Work
    • Gaming-Anti-Cheat
  • KI-Spitzenmodelle
    Vision- und Agentenmodelle, die Bildraster lesen, OCR-Rätsel lösen und alte CAPTCHAs in Millisekunden knacken.
    Schichten, die ihm begegnen
    • Gaming-Anti-Cheat
Gaming-Anti-Cheat
Jeder Tarif

Mehr als ein Spiel. Eine Verifizierungs-Engine.

Ein winziges, abwechslungsreiches Spiel, das Menschen in Sekunden spielen und genießen. Darunter läuft dasselbe Anti-Cheat-Drehbuch, mit dem kompetitive Multiplayer-Spiele Cheater fangen: Unsere Server setzen jede Runde auf, bevor du spielst (Server-Autorität), und simulieren sie danach erneut (deterministisches Replay), sodass das Spiel nicht gefälscht, nur gespielt werden kann. Es ist die Schicht, die kein anderes CAPTCHA hat, und der Grund, warum Caputchin existiert.

Bevor du spielst

Serverautoritatives Setup

  • Ein signiertes Einmal-Ticket (30-Minuten-Fenster) prägt die Runde. Gib es einmal aus, und es kann nie wiederholt werden.
  • Das Spiel und sein Zufallsseed werden auf unseren Servern gewählt, nie im Browser, sodass nichts client-seitig ein leichteres Ziel aussuchen kann.
  • Jedes Mal ein anderes Spiel aus dem Pool. Ein Solver weiß nie, welches ihm bevorsteht, also kann er nicht vortrainieren.

Dasselbe Modell wie ein kompetitiver Spieleserver: Der Client sendet nur Eingaben, nie das Urteil.

Nachdem du gespielt hast

Deterministisches Replay

  • Deine exakten Eingaben werden auf unseren Servern unter demselben Seed erneut abgespielt, in einem versiegelten Isolate ohne Netzwerk und mit hartem Zeitbudget.
  • Bestanden oder nicht wird von diesem Replay neu berechnet, nie aus dem Browser übernommen.
  • Der Code jedes Spiels wird per Hash geprüft, bevor er läuft, sodass das Artefakt nicht unter dir ausgetauscht werden kann.

Gebaut auf demselben Determinismus, auf den sich Lockstep-Multiplayer verlässt: Die Runde wird aus dem Seed erneut simuliert, um zu bestätigen, dass sie wirklich gespielt wurde.

In deiner Seite gesandboxt

Ein isolierter Iframe ohne Netzwerk und ohne Zugriff auf deine Cookies, deinen Speicher oder dein DOM.

Spielvielfalt

Verschiedene Sites bekommen verschiedene Spiele, und der Katalog wächst weiter.

Versiegeltes Replay

Das Replay läuft ohne Netzwerk und mit hartem CPU-Budget. Nichts kommt rein oder raus.

Manipulationssicherer Code

Jedes Spiel-Artefakt wird per Hash verifiziert, bevor ein einziges Frame läuft.

Kein Profiling

Wir beobachten weder deine Maus noch dein Timing. Wir spielen die Runde stattdessen erneut ab.

Zwei weitere Gates, daneben gestapelt

Gaming-Anti-Cheat arbeitet nie allein. Ein Proof-of-Work-Gate und Browser-Instrumentierung laufen mit, jedes treibt die Kosten bei einem anderen Angriffsmuster hoch. In Reihe komponiert hat jede Schicht, die der Angreifer erreicht, schon einen Tribut gezahlt.

Jeder Tarif

Proof of Work

Jeder Verifizierungsversuch zwingt den Browser des Besuchers, ein kleines kryptografisches Rätsel zu lösen. Ein Mensch wartet ein paar hundert Millisekunden und merkt es nie. Eine Bot-Farm, die Rechenleistung im großen Stil bezahlt, spürt jeden Takt.

Wo es passt

Anmeldeformulare, die von automatisierter Kontoerstellung ins Visier genommen werden. Jedes Fake-Konto kostet den Angreifer messbare Rechenleistung, und Massenmissbrauch wird zu teuer, um sich zu lohnen.

Jeder Tarif

Browser-Instrumentierung

Das Widget liest Umgebungssignale, die der Browser des Besuchers preisgibt. Echte Browser haben sie immer. Headless-Tools und Skripte fälschen sie meist schlecht oder gar nicht. Ein Schalter pro Site, das Blockieren automatisierter Browser, weist alles hart ab, was die Instrumentierung als headless oder treibergesteuert markiert (Playwright, Selenium, Puppeteer). Es ist opt-in, lass es also aus, wenn du legitime Automatisierung erwartest.

Wo es passt

Kommentarformulare und Kontaktseiten, die von Playwright- oder Selenium-Skripten ins Visier genommen werden. Mit aktiviertem Blockieren automatisierter Browser wird das Skript an der Tür gefiltert, statt eine Aufgabe zum Lösen zu bekommen.

Integrationsflächen

Vier Wege, Verifizierung vor einen Besucher zu setzen. Wähl den, der zur Form deines Codes, deines Stacks oder deines Teams passt.

Jeder Tarif

Web-Komponente zum Einsetzen

Ein HTML-Tag bindet das Widget ein. Es lässt die Gates laufen und gibt dir ein Token, wenn der Besucher besteht. Läuft in React, Vue, Svelte, Angular oder reinem HTML, weil Web-Komponenten nativ im Browser sind und keinen Framework-Wrapper brauchen.

Wo es passt

Der Standardweg. Füge deinem Anmeldeformular in Minuten Bot-Schutz hinzu, ohne eine neue Abhängigkeit aufzunehmen.

Jeder Tarif

Runtime-API

Die Verifizierungs-API hat zwei Teile. Den Verify-Aufruf, den dein Backend bei jeder Integration nutzt, um zu bestätigen, dass ein Token echt ist. Und die tiefer liegenden Challenge-Endpunkte, um die Verifizierung selbst zu steuern, für die seltenen Fälle, in denen das Widget nicht passt. Unterscheidet sich von der REST-Management-API, die dein Team für Konto- und Konfigurationsänderungen nutzt.

Wo es passt

Verify-Aufruf: jedes Backend, immer. Direkte API: Chats, Paywalls, mehrstufige Formulare, die in deine eigene UI eingewoben sind, überall dort, wo das Widget-Element nicht rendern kann.

Alpha tier

Gehostete Verifizierung

Richte die Action deines Formulars auf uns. Wir verifizieren den Besucher und leiten Einreichungen dann an dein Postfach oder deinen Endpunkt weiter. Auf deiner Seite kein Backend-Code, gar keiner.

Wo es passt

Statische Seiten und No-Code-Baukästen, die kein Backend haben, um Token selbst zu verifizieren. Bring ein Kontaktformular mit Bot-Schutz live, in der Zeit, die das Tauschen einer Form-Action-Attribut braucht.

Jeder Tarif

Mobile-WebView-Einbettung

Eine eigens gebaute Einbettungsseite für native iOS- und Android-Apps, die die Aufgabe in ihrem WebView rendern. Dasselbe Widget, kleinerer Fußabdruck, kein natives SDK zu installieren.

Wo es passt

Mobile Apps, die Verifizierung brauchen, ohne framework-spezifische SDKs auszuliefern oder einen CAPTCHA-Flow nativ für jede Plattform neu zu bauen.

Bring Verifizierung auf einem einzigen Site-Key live. Kostenlos.

Melde dich an, erstelle einen Site-Key, setz das Widget auf ein Formular. Upgrade später, wenn du eine Funktion auf einer höheren Stufe brauchst.

Kostenlos starten