Si eliminas ese código que hace referencia al HTTP_REFERER del Autentificator (aut_verifica.inc.php) no vas a perder nada en seguridad.

Esa pre-validación basicamente permite salir rápido del script si se accede directamente una página .. pero igualmente (si lo quitas) se valida la existencia de las variables de sesión .. cosa que si llegan "directo" no estarán y en tu caso de moverte por ventanas/frames al propagar el SID en cookies no tendrás problemas .. la sesión existirá y continuará su uso.

(De hecho tengo previsto quitar o hacer opcional el uso del "HTTP_REFERER" como validación y dejarlo sólo opcionar para la funcionalidad que tiene Autentificator basado en dicha variable para "devolver los mensajes de error" al script/página que lo solicitó).

Un saludo,