Todo script debe incluir la validación de sesiones que hace aut_verifica.inc.php o tu modificación .. se abra en una ventana o no ..

De nada sirve poner una "puerta blindada" a un recinto que no está cerrado por "muros". No sé si entendistes que pretendo explicar con esto .. pero según tu criterio .. estas poniendo una validación a un script dado .. que dá el acceso a otros, ¿que pasa si entro directo a uno de esos scripts sin pasar por tu "puerta" de entrada? .. Si no usas la validación (que la proporciona aut_verifica.inc.php) .. entraría sin problemas.

Teóricamente .. generando una cookie (setcookie()), recargas tu página y si no puedes acceder a tu cookie es que tu usuario no las tiene activadas.

Pero .. si te fijas bien, si tu desarrollas un sistema que use sesiones (propagando el SID en cookies como ahora lo haces usando Autentificator) y no puedes acceder a tus variables de sesión, ... (como ahora gestiona Autentificator) puedes arrojar un mensaje de error tipo "Acceso incorrecto o cookies no habilitadas" .. El usuario ya sabrá si estaba entrando de forma incorrecta a tu sistema y se dará por aludido .. si estaba entrando de forma correcta el problema es con sus cookies. Sé que no es muy "ortodoxso" mi solución .. pero es lo que suele pasar siempre con el uso de sesiones de esta forma.

Además que ten presente que no sólo se trata de "habilitar cookies" .. hay que avisar a tu usuario que no sólo los navegadores bloquean esas cookies .. (ya te hice el comentario al respecto) .. lamentablemente algunos usuarios no saben ni que tienen instalados, otros son usuarios bajo un red LAN donde hay políticas de la empresa que el usuario no conoce .. en fin . .muchos factores que pueden influir en el tema.

Un saludo,