Sí, pero el problema es el https + hsts del facebook.  (o ya existe una herramienta que pueda hacer esto?, probe con el sslstrip2 de https://github.com/byt3bl33d3r/MITMf, pero lo mismo, no funciona).

Hola, si soy el admin. El problema que las PC's no las tengo a la mano. Es decir estan en diversos lugares (es una red wifi). Y no quiero ir de maquina en maquina a instalar los certificados ssl (si te refieres a eso). Otra cosa amigo, puedo instalar cerficados root en cada maquina haciendoles creer a los usuarios que estan descargando un plugin o addon de flash no?. Esto haciendo un injection html/javascript en algunas paginas de internet. Esto lo digo por que yo administro el squid-proxy.

Este ultimo tambien no me gusta mucho ya que hacer que el usuario instale algun paquete (que mas parece un virus) no me huele bien. Que recomiendan?. Cual es la manera mas elegante posible?.

Entonces?, no hay respuestas?....

Hola amigos, tengo un problema.
Tengo un router en la mano es decir soy el admin .
Quiero interceptar las fotografias de facebook.com utilizando el  sslstrip2 + dns2proxy (SS2DNS).
Asi esto me permite decirle al cliente (de toda una lan): 'estas entrando por http al facebook sin ninguna alerta de seguridad'.
El problema es que usando el SS2DNS, despues del login, colocado correctamente, no llega a entrar a la web del social.facebook.com.

Estoy pensado que es por el 'includeSubDomains' (presente en el 'Strict-Transport-Security') .. asi falsear el www.facebook.com a social.facebook.com no va a dar resultado. Estoy pensando colocar faceb00k.com con ceros, asi pienso poder pasar por alto el includeSubDomains ya incrustado en el browser ..... que me pueden decir?. Estoy por el camino correcto?. O es que el SS2DNS ya paso a la historia?.

No se mucho de hacking ... sólo quiero hacer este pequeño experimento.


Saludos  .