Aber man kann doch immernoch aus der Seite trotzdem den Link zur zweiten (Download Seite) rauslesen und so einfach die Registrierung überspringen?

Es kommt auch darauf an, wie man die Session implementiert. Wird der Sitzungsschlüssel im URL übergeben (http://muster.domain/?SESSIONID=56d8s7f68as7f58dsf7&var=param), kann die Registrierung übersprungen werden, für die Zeit, die die Session gültig. Zwangsläufig nimmt man daher Cookies, die erheblich schwerer zu portieren sind.

Gruß aus Berlin!
eddi