pero eso es lo mismo que hago cuando intento verificar si está autentificado para mostrar la información privada, no?
me refiero a:

<?php
session_start();
if(isset($_SESSION["autorizacion"]) && $_SESSION["autorizacion"]=="si")
{
?>

si lo hago sin el session_start() delante, pues no entra en el if en ningun caso, y si pongo el session start delante entra siempre...aunque venga de una pagina que haya hecho un session_start();session_destroy()...