La variable de servidor "HTTP_REFERER" en Autentificator, sólo se usa para saber de que página viene la llamada a una página autentificada y .. en consecuencia, si hay algún error en el "login" (autentificación) devolver a dicha página el código de error correspondiente ("usuario no existe", "password no valida" .. etc).

Si piensas usar Autentificator en "pop-ups" .. elimina el código que hace referencia al "IF" que reivisa el HTTP_REFERER ... indica en $redir (variable) la página que contiene tu formulario de login (con ruta si corresponde) y .. listo.

Ese chequeo del HTTP_REFERER es una forma "rápida" de salir del script (páginas autentificadas) si se accede directamente (en teoría; si no tiene valor HTTP_REFERER, que se entiende que es que no llega de otra página).

De igual forma se valida al usuario por sus variables de sesión o "POST" (si llega por el formulario de login) .. así que realmente no es muy necesario esa porción del código. (en próximas versiones de Autentificator .. eliminaré ese código, pues, dá problemas con algunos proxys, firewalls .. etc que no dan esa información del "REFERER" y causa problemas si se trabaja con "pop-ups" ...)

Un saludo,