Bueno, en el tema de redirect vs transfer no me voy a meter, pero el otro tema, el de que REFERER es inseguro, es, como mucho, muy relativo.

El referer sólo funciona (mejor dicho, contiene información) cuando se accede al script donde se lo invoca mediante un enlace de HTML normal (<a href="pagina_con_el_referer.asp">...</a>) o mediante el submit de un formulario (ya sea POST o GET) por medio de un botón de submit y hasta por un script cliente lanzado por algún evento (onclick, onload, onLoQueSea)

Cualquier otra forma de llamar al script que contiene la ServerVariable HTTP_REFERER va a devolver un valor vacío.

En el caso del mensaje que comentan (que, de paso, me lo leí completito y no llegaron a ninguna solución -o por lo menos no me lo pareció-), el REFERR no funcionaba porque se llamaba al script por intermedio de una función cliente que genera un POP-UP... algo no aceptado por el referer.

Como conclusión personal, no es que referer sea inseguro. Es que hay ocaciones en donde se puede utilizar y otras en las que no.

Si encuentro el enlace en donde leí todo esto se los paso.
Saludos