Hallo,

$_SERVER['http_referer']
a) Wird es standardmäßig mitgesandt und man kann es nur als "Kenner" ausschalten?

soweit es nur die Browser betrifft: Ja, Ja.
Allerdings gibt es eine Menge anderer Stolperfallen. Software-Firewalls, Proxies und sogenannte Privacy-Tools sind nämlich auch typische Kandidaten, die den Referrer gern herausfiltern.

b) Welche Alternativen gibt es zu meiner Herangehensweise?

Wenn du die eine Seite ebenfalls unter Kontrolle hast, von der aus die Besucher ohne Login ankommen dürfen, dann gibt es viele Möglichkeiten. Gestalte die Links so, dass sie einen bestimmten URL-Parameter mitgeben, oder dass sie eine etwas andere URL anspringen. Ist natürlich alles relativ unsicher, weil leicht imitierbar und damit fälschbar.
Liegen die beiden Seiten auf demselben Server, wäre über Sessions etwas zu machen.

Letztendlich frage ich mich bei solchen Lösungen aber immer wieder, warum sich der Betreiber von Seite X dafür interessiert, ob ich vorher zufällig die Seite Y gesehen habe. Ich sehe in einer solchen Korrelation keinen Sinn, zumal sie eben nicht zuverlässig ist.

So long,
 Martin