Estou desenvolvendo um aplicativo usando Tauri, e a solicitação de login é feita através de código Rust. No entanto, ao utilizar o mitmproxy, consigo visualizar tanto a solicitação quanto a resposta do servidor, mesmo quando a comunicação é feita via HTTPS. Gostaria de saber como posso bloquear ou proteger essa comunicação para que os dados não possam ser interceptados dessa forma.
Meus 2 cents:
Ataques MITM precisam criar seus proprios certificados falsos, que nao tem CA valida - em teoria bastaria encerrar a aplicacao se a CA nao puder ser validada.
Dependendo da atividade, uma solucao seria incluir o fingerprint do certificado que voce conhece - mas nos casos onde o certificado eh validado a cada pouco tempo (p.ex. letsencrypt) isso seria um pouco complicado.
Tive uma situacao parecida - gerei um certificado de longa duracao (30 anos) e inclui o fingerprint dele na aplicacao e usava para trocar dados de 2a. ordem e confirmar a conexao principal. Como o uso era bem especifico - para mim resolveu (logico que nada impede de descompilarem a aplicacao, modificarem o fingerprint e redistribuirem - mas eh bem mais complicado).
De qualquer forma, verifique sobre HSTS tambem.