Es más seguro propagar el SID en cookies (por lo menos así dice PHP hasta en su php.ini como comentarios). Tienes el "contra" que si tocas con un navegador que no acepte cookies tu sistema no funcionará ...
Lo de la página de error 404 me refería a que si tu redirección actual que haces (ese header("location: pag2.php") ) no funciona probocará un error de "pagina no encontrada" simplemente eso.
Si la sesión no se ha creado .. puedes validarla con un simple condicional
Código PHP:
<?
session_start();
if (!isset($_SESSION['autentificacion'])){
header ("Location: error.php");
exit;
}
?>
(en tu pag2.php o paginas que requieran tu atutentificación por esa variable de sesión .. Supongo que algo así usaras ya no?)
Un saludo,