In questa domanda sui consigli software, l'OP chiede un'alternativa a Google reCAPTCHA perché "anche per ragioni di sicurezza non vogliamo dipendere da nessun servizio esterno".
Per quanto ne so, chiedi a Google un CAPTCHA, lo visualizzi, invii l'input dell'utente a Google che ti dice se l'input era corretto o meno.
Dov'è la possibile insicurezza?
Non è che tu invii a Google il login dell'utente, la password, il numero di conto bancario o qualsiasi altra informazione sensibile.
Suppongo che un attaccante veramente determinato possa usare un attacco man-in-the-middle, ma perché? I CAPTCHA vengono generalmente utilizzati per dimostrare che non sei un bot e non come credenziali di accesso.
Mi manca qualcosa? L'OP è giusto per essere preoccupato o si sta solo facendo un sacco di lavoro extra, forse cercando di implementare il proprio sistema che ritiene essere più sicuro di Google perché ... la sicurezza attraverso l'oscurità?