没有https时怎么安全传输密码？

做不到。

因为在没有https之前，你无法实现抗中间人攻击。

除非你使用u盾等盘外招技术。

但是单纯的浏览器在不使用https的前提下无法实现安全传输。

在网站和伪装者不存在可以区分的信息的情况下，你无法判断它的真实性，从而无法建立安全的连接。

我发现很多没学过密码学的大v在误人子弟。（知乎就是这样，大v有流量）

没有中心化ca颁发的证书，只能依靠线下实体分发（比如u盾），不然你采用什么a技术还是j技术都不行。

在密码学协议层面，科学家完全不认识这些东西，这些技术和https不是一个层面的东西。