Per siti come google e facebook diversi browser hanno precaricato le impostazioni HSTS (enforce HTTPS) e HPKP (certificato / chiave pubblica pinning). Ciò significa che il browser sa che questi siti dovrebbero essere raggiungibili solo da https e come dovrebbe apparire il certificato. Ciò significa che lo stripping di SSL e l'intestazione HSTS (cioè l'opzione --hsts
) non funzioneranno contro questi siti. Funzionerà solo contro siti in cui il browser non sa (ancora) che HTTPS è obbligatorio.
Quello di cui hai bisogno è fare un vero SSL man nel mezzo dove hai una connessione HTTPS dal browser al tuo uomo nel proxy centrale e dal proxy al server reale. In questo caso la connessione HTTPS al client è firmata da certificati creati dal proxy e il proxy CA pertinente deve essere configurato esplicitamente come trusted all'interno del browser / sistema operativo.
Ma da uno sguardo a mitmf non vedo che offra un'opzione per fare il vero uomo SSL nel mezzo, può solo eseguire lo stripping SSL (ovvero eseguire il downgrade su HTTP semplice) che non è di aiuto in caso di HSTS / HPKP precaricato. Quindi avresti bisogno di usare altri strumenti come mitmproxy .