Die CAPTCHA-Alternative ohne Tracking, ohne Cookies, ohne Datenübertragung in Drittländer. Proof of Work + Verhaltensanalyse — betrieben auf unseren Servern in Deutschland.
Verifiziert
12ms · Score 4
So funktioniert's
Echte Menschen merken nichts. Bots scheitern an mehreren Schichten gleichzeitig.
Das V2-Widget (15 KB) holt eine adaptive Challenge-Policy vom Server — Schwierigkeit, Challenge-Typ und Profil werden per Site und Formular gesteuert.
SHA-256 oder Memory-Hard PoW im WebWorker. Parallel: Mausentropie, Tipp-Rhythmus, Scroll-Verhalten werden passiv erfasst — nur Scores, keine Rohdaten.
Kontextabhängige Bewertung: Login strenger als Kontaktformular. IP-Archiv, Kampagnenerkennung, Confidence Score. Antwort in unter 50ms.
Mehrschichtige Sicherheit
SHA-256 oder Memory-Hard Argon2 (GPU-resistent) — jeder Client muss Rechenarbeit leisten. Schwierigkeit wird dynamisch per Site-Profil und Under-Attack-Level gesteuert. Nonces EdDSA-signiert, Single-Use.
Maus-Entropie, Tipp-Rhythmus, Scroll/Touch/Focus, Canvas-Timing, WebGL-Renderer, requestAnimationFrame-Cadence, OfflineAudioContext, Storage-APIs — entlarvt selbst getarnte Headless-Browser (Puppeteer Stealth, Playwright). Privacy by Design, nur Scores.
Kontextabhängige Bewertung: Login wird strenger bewertet als ein Kontaktformular. Site-Profile, Form-Policies, Confidence Score und Reason Codes. IP-Reputation, ASN, User-Agent, Env-Fingerprint — alles gewichtet nach Profil.
Umfangreiches IP-Archiv risikoreicher Adressen, täglich mehrfach aktualisiert. Automatische Kampagnenerkennung bei koordinierten Angriffen. Auto-Learning aus blockierten Mustern mit Score-Decay.
4-stufiger Under-Attack-Mode (Level 0–3). Automatische Eskalation basierend auf Block-Rate. Memory-Hard PoW und Interaction Step-Up bei erhöhtem Risiko. HMAC-signierte Access-Cookies pro Level.
Drei Modi
Vom unsichtbaren Schutz bis zur klassischen Checkbox — du entscheidest, wie viel deine Nutzer sehen.
Widget sichtbar, Checkbox setzt sich automatisch wenn genug menschliche Interaktion erkannt wird (Tippen, Maus, Scrollen). Kein Klick nötig. Fallback: Nutzer kann auch manuell klicken.
data-captchacore="interactive"
Checkbox muss manuell geklickt werden. Wie reCAPTCHA, aber auf deinem Server. Löst PoW beim Klick aus. Gut für Formulare mit hoher Sicherheitsanforderung.
data-captchacore="visible"
Kein UI. PoW löst komplett im Hintergrund. Ideal für Login-Formulare oder Seiten, wo das Widget stören würde. Blockiert Submit bis Token bereit.
data-captchacore="invisible"
Features
Betrieben auf unseren eigenen Servern in Deutschland. Keine Datenübertragung in Drittländer. Auf Wunsch auch Self-Hosting auf deinem eigenen Server möglich.
Keine Cookies, kein Tracking, keine Rohdaten. Rolling-Salt IP-Hashing (6h Rotation), getrennte Betriebs-/Sicherheitslogs mit strikten Aufbewahrungsfristen.
Risk Engine antwortet in unter 50ms. PoW-Lösung in 200ms. Widget-Bundle nur 15 KB gzip. Kein UI-Blocking dank WebWorker.
Hashcash-Prinzip. Schwierigkeit 2–6 konfigurierbar. Nonce Single-Use via Redis mit TTL. WebWorker löst im Hintergrund.
Maus, Tipp-Rhythmus, Touch, Paste, Canvas-Timing, WebGL-Renderer, rAF-Cadence, Storage-APIs. Erkennt auch getarnte Headless-Browser. Aggregiert, keine Rohdaten.
4-stufiger Under-Attack-Mode. Automatische Eskalation und De-Eskalation. Level-spezifische Access-Cookies.
Threat Intelligence lernt stündlich aus blockierten Mustern. IP-Ranges, UA-Patterns und Verhaltens-Anomalien werden automatisch erkannt.
Theme (Light/Dark/Auto), Akzentfarbe, Label, Branding, Größe — alles pro Site konfigurierbar im Admin-Panel.
Analytics, Verifikations-Logs, Threat-Metriken, Site-Verwaltung, API-Key-Rotation, User-Management, Audit-Trail. Filament 5.
Integration
WordPress-Plugin, Laravel-Paket, Symfony-Bundle oder einfach per Script-Tag — CaptchaCore passt sich deinem Stack an.
<!-- 1. Script einbinden --> <script src="https://src-eu.captchacore.eu/widget/captchacore-v2.min.js" data-service-url="https://api.captchacore.eu" data-site-key="cc_pub_dein_key" async defer></script> <!-- 2. Formular mit data-captchacore Attribut --> <form data-captchacore="interactive" method="post"> <div data-captchacore-widget></div> <button type="submit">Absenden</button> </form> <!-- 3. Server-seitig Token verifizieren --> POST https://api.captchacore.eu/api/v2/verify Header: X-CaptchaCore-Key: cc_sec_dein_secret Body: { "token": "...", "form_type": "contact" }
// 1. Repository in composer.json eintragen "repositories": [{"type":"composer", "url":"https://captchacore.eu/packages"}] // 2. Paket installieren composer require captchacore/laravel // 3. .env konfigurieren CAPTCHACORE_URL=https://captchacore.eu CAPTCHACORE_SITE_KEY=cc_pub_dein_key CAPTCHACORE_SECRET_KEY=cc_sec_dein_secret // 3. Blade-Component im Formular <x-captchacore::widget /> // 4. Middleware auf Route Route::post('/register', RegisterController::class) ->middleware('captchacore:register');
// 1. Repository in composer.json eintragen "repositories": [{"type":"composer", "url":"https://captchacore.eu/packages"}] // 2. Bundle installieren composer require captchacore/captchacore-bundle // 3. .env konfigurieren CAPTCHACORE_URL=https://api.captchacore.eu CAPTCHACORE_SITE_KEY=cc_pub_dein_key CAPTCHACORE_SECRET_KEY=cc_sec_dein_secret // 4. FormType im Formular — oder Attribute / Validator / Twig $builder->add('captcha', CaptchaCoreType::class, [ 'form_type' => 'contact', ]); // Alternativ: #[RequiresCaptcha] auf der Controller-Action #[RequiresCaptcha(formType: 'contact')] public function submit(Request $request): Response { /* ... */ }
// 1. Plugin hochladen unter Plugins > Installieren // 2. Unter Einstellungen > CaptchaCore konfigurieren: Service-URL: https://captchacore.eu Site Key: cc_pub_dein_key Secret Key: cc_sec_dein_secret // 3. Formulare aktivieren (Checkboxen): ☑ Login ☑ Registrierung ☑ Kommentare ☑ Passwort vergessen ☑ Formidable Forms // Kein Code nötig. Fertig.
Vergleich
| CaptchaCore | reCAPTCHA | hCaptcha | Friendly | |
|---|---|---|---|---|
| Hosting in Deutschland | ||||
| DSGVO ohne Aufwand | teilw. | |||
| Kein Tracking | ||||
| Kein Cookie | ||||
| Keine US-Datenübertragung | ||||
| Proof of Work | ||||
| Behavioral Analysis | ||||
| Threat Intelligence | ||||
| Under-Attack-Mode | ||||
| Admin-Dashboard | ||||
| Widget anpassbar | teilw. | |||
| Self-Hosting auf Anfrage |
Datenschutz
Das Widget kommuniziert ausschließlich mit unseren Servern in Deutschland. Kein Google, kein US-Dienst, kein externes CDN.
Letztes Oktett (IPv4) bzw. letzte 64 Bit (IPv6) werden vor dem Speichern entfernt. Konfigurierbar.
Standard: 30 Tage. Automatische Bereinigung per Cron. Kann auf 7 Tage oder 90 Tage gesetzt werden.
Mausbewegungen, Tastaturanschläge und Touch-Events werden lokal aggregiert. Nur Scores und Hashes verlassen den Browser.
Nur im Under-Attack-Mode: kurzlebiges HMAC-signiertes Cookie (30 Min). Sonst: keine Cookies.
Datenminimierung als technischer Standard. Nicht als Feature-Toggle, sondern als Architekturentscheidung.
Technische Details
Globale Infrastruktur
Das CaptchaCore-Widget wird über das EU-CDN ausgeliefert — wahlweise EU-only (DSGVO) oder weltweit.
Widget wird ausschließlich über europäische Server ausgeliefert. Keine Datenübertragung in Drittländer.
src-eu.captchacore.eu
24+ Edge-Standorte in Europa:
Deutschland (Primary), Österreich, Schweiz, Niederlande, Belgien, Frankreich, Großbritannien, Irland, Spanien, Portugal, Italien, Schweden, Norwegen, Dänemark, Finnland, Polen, Tschechien, Rumänien, Bulgarien, Griechenland, Kroatien, Serbien, Slowenien, Ungarn
Alle EU-Standorte plus zusätzliche Edge-Server weltweit für minimale Latenz bei internationalem Publikum.
src.captchacore.eu
100+ Edge-Standorte weltweit:
Europa: Alle 24+ EU-Standorte
Nordamerika: New York, Washington, Chicago, Dallas, Los Angeles, Seattle, Miami, Atlanta, Toronto, Montreal
Südamerika: São Paulo, Buenos Aires, Bogotá, Lima, Santiago
Asien-Pazifik: Singapur, Hongkong, Tokio, Seoul, Mumbai, Delhi, Manila, Osaka, Jakarta
Ozeanien & Naher Osten: Sydney, Melbourne, Auckland, Dubai, Doha, Istanbul
Teste CaptchaCore jetzt live oder lies die Dokumentation für die Integration in dein Projekt.