Можно поставить самопальные сертификаты от mitmproxy и видеть даже шифрованный трафик пользователей. А инкогнито или нет, будет уже без разницы.

Если адрес сайта не захардкодили в браузер как HTTPS-only, то можно использовать arp-spoofing + sslstrip + tcpdump/wireshark. Поищите по форуму гуглем, тут такие темы каждый месяц появляются и обмусолены уже от и до.