Risolto!

Siccome stavo sperimentando non avevo definito la classe class="titoloparagrafo" per la visualizzazione della scritta AREA RISERVATA e questo generava la visualizzazione errata.

Per quanto riguarda il metodo 'in chiaro' sono perfettamente d'accordo con te infatti il passo successivo consiste nel cifrare il file di testo delle password. A tal proposito quale metodo mi consigli crypt md5 o sha1.

Inoltre usare una variabile di sessione come 'autorizzato' mi sembra pericoloso, non sarebbe più sicuro utilizzare una variabile che non sia riconoscibile da un dizionario qualcosa tipo:
'a1q2w3e4r5tfghjkklyvnrcbg'?

Infine dovrei imboscare il file di testo in una directory che non sia accessibile agli spider, ma di questo non ne so un granchè e non credo che un semplice redirect javascript sia sufficente a fermare un hacker determinato, sai congliarmi qualche sito dove documentarmi?