Wenn sich Server und Client verschlüsselt unterhalten können, ohne dass ich einen Code eingebe, was hindert denn einen Lauscher, sich dieselbe Technik wie der Browser anzueignen und mitzuhören?

https://www.internetsociety.org/deploy360/tls/basics/:

For this reason, TLS uses asymmetric cryptography for securely generating and exchanging a session key. The session key is then used for encrypting the data transmitted by one party, and for decrypting the data received at the other end. Once the session is over, the session key is discarded.

Übersetzt:

Für diesen Zweck benutzt TLS zunächst asymmetrische Kryptographie(¹) um auf sicherem Weg einen Sitzungsschlüssel(²) zu generieren und zu übertragen. Dieser Sitzungsschlüssel wird dann für das Verschlüsseln und Entschlüsseln der Daten benutzt. Wenn die Sitzung beendet wird, wird der Schlüssel verworfen.

¹) Also Paare von öffentlichen und privaten Schlüsseln. Der Sender einer Nachricht verschlüsselt mit seinem privatem und dem öffentlichen Schlüssel des Empfängers, der Empfänger entschlüsselt mit seinem privaten und dem öffentlichen Schlüssel des Versenders. Diese können automatisch generiert sein und außerdem können diese Schlüsse signiert sein. Dazu haben die anderen geschrieben.

²) Du hast den Sitzungsschlüssel „Code“ genannt.